In ultima perioada se discuta din ce in ce mai mult despre platforme de securitate distribuita, cu componente integrate sub orice forma posibila in toate nodurile si segmentele de retea. Motivul acestui curent este faptul ca, de-a lungul ultimilor ani, s-a observat o migratie a atacurilor informatice: de la clasicele exploatari de vulnerabilitati a unor servicii publice sau cu vizibilitate directa in Internet lucrurile au avansat spre tipologii de atacuri elaborate, cu destinatii sau  surse neasteptate. In traducere libera, atacurile pot veni de oriunde si lovesc unde te astepti mai putin prin metode din ce in ce mai inovatoare.

Factorii decisivi care au dat un avant noilor atacuri sunt destul de usor de indentificat. Este de ajuns sa amintim cresterea exponentiala in dependenta companiilor de mediile informatice si este destul de clar ca totul in ziua de astazi este tranzactionabil “over IP”. Daca adaugam faptul ca majoritatea codurilor sursa ce exploateaza diverse vulnerabilitati au devenit din ce in ce mai vizibile publicului larg din primele zile de la descoperire sau uneltele gata compilate ce asteapta atacatorul cu o interfata grafica intuitiva, se pot intelege schimbarile din domeniu in ultimii 2-3 ani.

Rezultatul este destul de clar: nu mai putem pastra falsa impresie ca instaland un firewall la un punct de iesire a datelor din companie suntem protejati.

Desi exista multe tehnologii ce conlucreaza pentru o infrastructura convergenta si sigura, din clasicul firewall s-a desprins incet o alta categorie de produse cu multi ani in urma. Sub numele generic de Intrusion Detection System (IDS), aceste platforme genereaza alerte in timp real asupra traficului scanat, bazandu-se pe diferite reguli de detectie ale atacurilor.

Odata cu evolutia puterii de calcul si aparitia a noi standarde de comunicatie, companii inovatoare precum TippingPoint sau Juniper au facut pasul firesc de la alertare in timp real la prevenire in timp real. Astfel s-au nascut primele dispozitive de Intrusion Prevention System (IPS).

O platforma de tip IPS consta intr-un senzor cu reguli de detectie si prevenire in timp real ale diferitelor tipuri de atacuri. Tehnologiile difera de la caz la caz asa ca, in continuare, voi face referire generic la solutiile oferite de TippingPoint,  acestia fiind clasati ca lider mondial in momentul de fata dupa ultimele analize Gartner.

Ideea este simpla. Solutia este plasata inline – traficul intra pe o interfata si iese curatat de orice amenintari, cu latente de maxim cateva zeci de microsecunde. Performantele de gigabiti pe secunda procesati si curatati in timp real se ating cu tehnologii de filtrare hardware avansate in care un pachet de date trece prin multiple procesoare in paralel.

 Un astfel de dispozitiv include reguli de detectie ce contin semnaturi antivirus, semnaturi ale exploatarii vulnerabilitatilor cunoscute, intelegerea anomaliilor de trafic si asa mai departe. Vulnerabilitatile sunt acoperite in general cu mult inaintea dezvaluirii lor publice, prin actualizari automate aduse bazei de date de filtrele de pe dispozitive. Practic se ofera o metoda de patching pentru intreaga zona protejata pana cand actualizarea sistemului de operare este eliberata de catre producator.

In cazul in care miile de filtre existente nu sunt de ajuns prin aparitia unor cerinte punctuale sau a unor aplicatii unice, se pot scrie filtre manual pornind de la orice informatie de nivel 2 – 7 este prezenta in pachetele de date la nivel de biti interpretati de aplicatii din familia Wireshark.

Ce pare interesant este ca majoritatea dispozitivelor IPS au si functii avansate de evitare a atacurilor de tip Distributed Denial of Service, ceea ce ajuta enorm la pastrarea disponibilitatii serviciilor. O singura cutie poate gestiona milioane de conexiuni invalide pe secunda in cadrul unui atac. Pe langa flood-urile clasice, intelege si elimina atacurile de tip botnet sau orice alte aplicatii de tip Trojan, fie ele generate din interior sau cu tinta in segmentul protejat.

    Integrarea unei solutii de tip Instrusion Prevention System se poate face extrem de usor, fara un impact major asupra arhitecturii existente in cadrul unei infrastructuri date. Practic, interfetele de in/out mentionate mai devreme sunt total transparente pentru celelalte echipamente si nu interfereaza cu lucrul normal al retelei. Segmentul protejat (fie el fizic sau virtual) prin echipamentul de tip IPS nu este perceput de restul dispozitivelor diferit fata de orice echipament pasiv. Exista un studiu care evidentiaza o medie de doar cateva ore pentru instalarea unei solutii de acest gen intr-un mediu enterprise.

    Fiind vorba de o solutie ce devine poarta de acces in diferite segmente critice din retea, exista multiple metode de garantare a disponibilitatii continue, chiar si fara alimentare electrica (Zero Power High Availability) sau caderi totale ale sistemului software/hardware (Layer 2 Fallback).

    Solutiile de tip IPS ofera posibilitati de scalabilitate conforme cu cresterea capacitatii retelei. Astfel, traficul de zeci sau chiar sute de gigabiti pe secunda poate fi balansat intre multiple dispozitive, asigurandu-se disponibilitatea serviciilor de preventie a intruziuniilor in orice mediu. In mod evident, oricare ar fi numarul de dispozitive acestea pot fi controlate dintr-o consola centrala pentru a scrie politici unice si pentru a corela evenimentele in rapoartele generate.

    Daca privim lucrurile in ansamblu, o solutie clasica nu poate proteja o infrastructura de ”zero-day attacks” si este destul de rigida pentru vremurile exponentiale din cadrul retelelor de tip enterprise. Prin urmare pasul firesc este suplimentarea acestora printr-o solutie flexibila de Intrusion Prevention System.

GENESYS SYSTEMS si-a imbogatit portofoliul de solutii de securitate ca urmare a incheierii unui parteneriat strategic cu compania Fortinet, oferind solutii de ultima generatie pentru protectia in timp real a retelelor de calculatoare. Fortinet este lider mondial pe segmentul solutiilor unificate…

Specialistii in securitate ai Kaspersky Lab au realizat topurile celor mai raspandite 20 de amenintari informatice ale lunii decembrie 2009, atragand atentia asupra schimbarilor aparute in clasamentul programelor de tip malware propagate online.

Cele mai recente teste efectuate la inceputul lunii decembrie de publicatiile din Europa intaresc pozitia de lider al detectiei malware confirmate de-a lungul anului de solutiile de securitate G Data, indiferent daca au fost testate solutiile adresate utilizatorilor casnici sau corporatiilor….

Cele mai recente teste efectuate la inceputul lunii decembrie de publicatiile din Europa intaresc pozitia de lider al detectiei malware confirmate de-a lungul anului de solutiile de securitate G Data, indiferent daca au fost testate solutiile adresate utilizatorilor casnici sau corporatiilor….

Cum functioneaza piata neagra? Ce se comercializeaza? Care sunt jucatorii si cum se raspandesc retelele in lumea comunicatiilor? Expertii G Data Security Labs au analizat multe intrebari si au analizat timp de mai multe luni tranzactiile ilegale AŸi discuA£iile pe forumuri eCrime. Concluzia lor:…

Desi este un moment de criza economica severa pentru industria de IT din Romania, compania IBM a dat dovada unui lider de industrie si investeste in Romania. L-am invitat pe Mihai Tudor, Country Manager IBM Romania, sa ne vorbeasca despre…

Citeste articolul pe: Computer World

IDS/IPS –sau cum tinem pasul cu evolutia securizarii infrastructurii IT

In ultima perioada se discuta din ce in ce mai mult despre platforme de securitate distribuita, cu componente integrate sub orice forma posibila in toate nodurile si segmentele de retea. Motivul acestui curent este faptul ca, de-a lungul ultimilor ani, s-a observat o migratie a atacurilor informatice: de la clasicele exploatari de vulnerabilitati a unor servicii publice sau cu vizibilitate directa in Internet lucrurile au avansat spre tipologii de atacuri elaborate, cu destinatii sau  surse neasteptate. In traducere libera, atacurile pot veni de oriunde si lovesc unde te astepti mai putin prin metode din ce in ce mai inovatoare.

Factorii decisivi care au dat un avant noilor atacuri sunt destul de usor de indentificat. Este de ajuns sa amintim cresterea exponentiala in dependenta companiilor de mediile informatice si este destul de clar ca totul in ziua de astazi este tranzactionabil “over IP”. Daca adaugam faptul ca majoritatea codurilor sursa ce exploateaza diverse vulnerabilitati au devenit din ce in ce mai vizibile publicului larg din primele zile de la descoperire sau uneltele gata compilate ce asteapta atacatorul cu o interfata grafica intuitiva, se pot intelege schimbarile din domeniu in ultimii 2-3 ani.

Rezultatul este destul de clar: nu mai putem pastra falsa impresie ca instaland un firewall la un punct de iesire a datelor din companie suntem protejati.

Desi exista multe tehnologii ce conlucreaza pentru o infrastructura convergenta si sigura, din clasicul firewall s-a desprins incet o alta categorie de produse cu multi ani in urma. Sub numele generic de Intrusion Detection System (IDS), aceste platforme genereaza alerte in timp real asupra traficului scanat, bazandu-se pe diferite reguli de detectie ale atacurilor.

Odata cu evolutia puterii de calcul si aparitia a noi standarde de comunicatie, companii inovatoare precum TippingPoint sau Juniper au facut pasul firesc de la alertare in timp real la prevenire in timp real. Astfel s-au nascut primele dispozitive de Intrusion Prevention System (IPS).

O platforma de tip IPS consta intr-un senzor cu reguli de detectie si prevenire in timp real ale diferitelor tipuri de atacuri. Tehnologiile difera de la caz la caz asa ca, in continuare, voi face referire generic la solutiile oferite de TippingPoint,  acestia fiind clasati ca lider mondial in momentul de fata dupa ultimele analize Gartner.

Ideea este simpla. Solutia este plasata inline – traficul intra pe o interfata si iese curatat de orice amenintari, cu latente de maxim cateva zeci de microsecunde. Performantele de gigabiti pe secunda procesati si curatati in timp real se ating cu tehnologii de filtrare hardware avansate in care un pachet de date trece prin multiple procesoare in paralel.

 Un astfel de dispozitiv include reguli de detectie ce contin semnaturi antivirus, semnaturi ale exploatarii vulnerabilitatilor cunoscute, intelegerea anomaliilor de trafic si asa mai departe. Vulnerabilitatile sunt acoperite in general cu mult inaintea dezvaluirii lor publice, prin actualizari automate aduse bazei de date de filtrele de pe dispozitive. Practic se ofera o metoda de patching pentru intreaga zona protejata pana cand actualizarea sistemului de operare este eliberata de catre producator.

In cazul in care miile de filtre existente nu sunt de ajuns prin aparitia unor cerinte punctuale sau a unor aplicatii unice, se pot scrie filtre manual pornind de la orice informatie de nivel 2 – 7 este prezenta in pachetele de date la nivel de biti interpretati de aplicatii din familia Wireshark.

Ce pare interesant este ca majoritatea dispozitivelor IPS au si functii avansate de evitare a atacurilor de tip Distributed Denial of Service, ceea ce ajuta enorm la pastrarea disponibilitatii serviciilor. O singura cutie poate gestiona milioane de conexiuni invalide pe secunda in cadrul unui atac. Pe langa flood-urile clasice, intelege si elimina atacurile de tip botnet sau orice alte aplicatii de tip Trojan, fie ele generate din interior sau cu tinta in segmentul protejat.

    Integrarea unei solutii de tip Instrusion Prevention System se poate face extrem de usor, fara un impact major asupra arhitecturii existente in cadrul unei infrastructuri date. Practic, interfetele de in/out mentionate mai devreme sunt total transparente pentru celelalte echipamente si nu interfereaza cu lucrul normal al retelei. Segmentul protejat (fie el fizic sau virtual) prin echipamentul de tip IPS nu este perceput de restul dispozitivelor diferit fata de orice echipament pasiv. Exista un studiu care evidentiaza o medie de doar cateva ore pentru instalarea unei solutii de acest gen intr-un mediu enterprise.

    Fiind vorba de o solutie ce devine poarta de acces in diferite segmente critice din retea, exista multiple metode de garantare a disponibilitatii continue, chiar si fara alimentare electrica (Zero Power High Availability) sau caderi totale ale sistemului software/hardware (Layer 2 Fallback).

    Solutiile de tip IPS ofera posibilitati de scalabilitate conforme cu cresterea capacitatii retelei. Astfel, traficul de zeci sau chiar sute de gigabiti pe secunda poate fi balansat intre multiple dispozitive, asigurandu-se disponibilitatea serviciilor de preventie a intruziuniilor in orice mediu. In mod evident, oricare ar fi numarul de dispozitive acestea pot fi controlate dintr-o consola centrala pentru a scrie politici unice si pentru a corela evenimentele in rapoartele generate.

    Daca privim lucrurile in ansamblu, o solutie clasica nu poate proteja o infrastructura de ”zero-day attacks” si este destul de rigida pentru vremurile exponentiale din cadrul retelelor de tip enterprise. Prin urmare pasul firesc este suplimentarea acestora printr-o solutie flexibila de Intrusion Prevention System.

GENESYS SYSTEMS si-a imbogatit portofoliul de solutii de securitate ca urmare a incheierii unui parteneriat strategic cu compania Fortinet, oferind solutii de ultima generatie pentru protectia in timp real a retelelor de calculatoare. Fortinet este lider mondial pe segmentul solutiilor unificate…

Specialistii in securitate ai Kaspersky Lab au realizat topurile celor mai raspandite 20 de amenintari informatice ale lunii decembrie 2009, atragand atentia asupra schimbarilor aparute in clasamentul programelor de tip malware propagate online.

Cele mai recente teste efectuate la inceputul lunii decembrie de publicatiile din Europa intaresc pozitia de lider al detectiei malware confirmate de-a lungul anului de solutiile de securitate G Data, indiferent daca au fost testate solutiile adresate utilizatorilor casnici sau corporatiilor….

Cele mai recente teste efectuate la inceputul lunii decembrie de publicatiile din Europa intaresc pozitia de lider al detectiei malware confirmate de-a lungul anului de solutiile de securitate G Data, indiferent daca au fost testate solutiile adresate utilizatorilor casnici sau corporatiilor….

Cum functioneaza piata neagra? Ce se comercializeaza? Care sunt jucatorii si cum se raspandesc retelele in lumea comunicatiilor? Expertii G Data Security Labs au analizat multe intrebari si au analizat timp de mai multe luni tranzactiile ilegale AŸi discuA£iile pe forumuri eCrime. Concluzia lor:…

Desi este un moment de criza economica severa pentru industria de IT din Romania, compania IBM a dat dovada unui lider de industrie si investeste in Romania. L-am invitat pe Mihai Tudor, Country Manager IBM Romania, sa ne vorbeasca despre…

Citeste articolul pe: Computer World

Postat de pe data de 31 dec., 2009 in categoria Noutăți. Poti urmari comentariile acestui articol prin RSS 2.0. Acest articol a fost vizualizat de 219 ori.

Publica un raspuns