入侵防御系统IBM-IPS-IBM-ISS多页方案建议书.ppt

© 2012 IBM Corporation11IBM安全威胁缓解解决方案￿￿￿￿￿￿￿￿￿￿——IBM￿ISS入侵防御系统© 2012 IBM Corporation2解决方案IBM威胁缓解解决方案以X-Force®研发为坚实后盾-用于实践￿￿￿保护技术研发威胁前景预测恶意软件分析公共安全漏洞分析原创的安全漏洞研究研究￿￿￿X-Force￿保护引擎现有引擎的扩展新创建的保护引擎￿￿￿￿￿￿￿￿￿￿￿￿￿X-Force￿XPU’s安全内容更新技术的最新发展安全内容更新技术QA￿￿￿￿￿￿￿￿X-Force￿IntelligenceX-Force数据库馈送信息的监控与收集情报共享技术￿X-Force￿研发中心帮助您降低运行复杂性￿–￿构建提供“成熟”简便性的集成技术© 2012 IBM Corporation33X-Force源于实践GTOC　美国・Atlanta￿InternetHackerHackerIPS￿Sensors9大安全运营中心1.美国￿2.比利时3.加拿大￿4.美国5.澳大利亚￿6.美国￿7.日本8.美国9.印度MSS￿Backbone￿NetworkFusion￿Center:￿Hacker￿Profiles￿Threat￿Demographics￿Event￿Correlation￿“In￿the￿Wild”￿MonitoringReporting:￿Gold￿Platinum￿Special￿EventInformation￿Sharing￿&￿Analysis￿Center￿(“ISAC”)￿IT/ISAC￿MSS/ISACForum￿of￿Incident￿Response￿&￿Security￿Teams(Event￿Data)(Incident￿Alerts)Event￿Data￿Repository￿管理安全设备>20000每日处理事件超过56亿© 2012 IBM Corporation4IBM网络入侵防御系统客户益处：应用层纵深防御© 2012 IBM Corporation5网络安全挑战￿￿￿￿￿危险形成的原因© 2012 IBM Corporation6￿现有安全设备的不足它和物理安全的比较！防毒软件/防毒墙防病毒等被动型安全防护工具，无法满足对基于漏洞的动态未知攻击及病毒进行防护；防火墙防火墙作为访问控制设备，无法检测或拦截嵌入到正常流量中的恶意攻击代码，比如针对WEB服务的Code￿Red蠕虫等。

防火墙无法发现内部网络中的攻击行为IDS￿入侵检测IDS旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标而造成损失比如蠕虫爆发造成企业网络瘫痪，IDS无能为力© 2012 IBM Corporation8IBM网络入侵防御系统客户益处：虚拟补丁© 2012 IBM Corporation9漏洞￿￿vs.￿攻击前瞻性（协议分析）vs.￿反响式（模式匹配）模式匹配被动防御在更新之前难以防御变种新威胁一成不变的低效的“消防演习”模式，过程太慢，误报漏报高补丁总是不够及时而且容易出错对于“零日攻击”毫无办法对已知漏洞&攻击的防护延迟Network￿FirewallIDS￿模式匹配IPS穷于应付疲于奔命机密数据© 2012 IBM Corporation1010X-Force技术:￿强大的防护技术（PAM）协议分析模块￿￿￿￿￿￿￿￿￿￿￿￿￿协议分析模块（PAM）RFC￿遵从性验证攻击模型状态包过滤协议异常侦测TCP￿&￿流程￿重组￿￿IBM￿内容分析统计分析端口分配主机相应分析端口追踪IPv6￿本地流量分析Protocol￿￿TunnelingIPv6￿隧道分析应用层Pre-ProcessingSIT￿隧道分析恶意代码试探法硕明性模式匹配Context￿Field￿Analysis客户签名注入逻辑引擎工作原理深度检测网络流量认证&分析>230种网络及应用层协议及数据文件格式典型攻击蠕虫间谍软件P2PDoS/DDoS跨站脚本攻击SQL注入缓冲溢出web目录遍历© 2012 IBM Corporation11作用：不依赖于软件补丁，屏蔽漏洞，免受攻击，并支持完整的补丁管理流程，该流程可以持续使用重要性：截至2009年底，在该年度公布的所有弱点中，有52%的弱点不提供厂商支持的补丁作用：检测并防御整个威胁类别，而不是特定的攻击或弱点。

重要性：消除对于持续特征更新的需求保护包括专有的Shellcode￿Heuristics￿(SCH)￿技术，该技术在保护零日攻击方面保持着战无不胜的骄人记录作用：监视和识别未加密的个人可识别信息(PII)￿和其他用于数据认知的机密信息还能够探索整个网络中的数据流，帮助您确定是否存在任何潜在的风险重要性：灵活且可扩展的定制数据搜索条件；作为数据安全性战略的一个补充作用：保护web应用免受SQL注入、XSS（跨站脚本）、PHP￿fileincludes、CSRF（跨站请求伪造）等复杂应用层攻击重要性：扩展安全性功能，满足法规遵从需求和防护威胁的进化作用：在已定义的网络分段中管理安全策略和风险，例如：ActiveX、指纹、P2P对等网络、IM即时消息和隧道等重要性：跟进公司策略和治理，实施网络应用和服务接入控制作用：保护终端用户免受针对日常使用的应用程序为目标的攻击，例如：Microsoft￿Office,￿Adobe￿PDF,￿多媒体文件和Web浏览器重要性:2009年，影响个人电脑的漏洞数量，排名第二，占到全部漏洞披露的五分之一虚拟补丁客户端应用程序保护Web应用保护威胁检测与防御数据安全应用程序控制IBM￿Security￿NIPS核心引擎——协议分析模块（PAM）•以X-Force为后盾，可扩展的保护引擎，使得入侵防护更具智慧© 2012 IBM Corporation12IBM网络入侵防御系统客户益处：数据泄漏© 2012 IBM Corporation13数据泄密防护•监控和识别非加密的个人身份信息（PII）以及其它潜在机密信息•提供探寻通过网络的数据流的能力，使用多达16种不同的签名帮助确认是否存在潜在风险，•支持复合数据集搜索字符串检查和/旁路双向检查模式13© 2012 IBM Corporation14数据泄密防护策略（Data￿Loss￿Prevention）•使用￿Data￿Loss￿Prevention￿(DLP)￿策略，检查你网络中的协议和内容以及个人身份信息（PII），例如：信用卡号邮编地址社会保障号美元金额日期US号码邮件地址名字注意：如果所有数据泄密防护签名和协议启用，可能会影响网络性能© 2012 IBM Corporation15Data￿Loss￿Prevention￿-￿Signatures￿tab创建用户自定义事件签名user-combined签名单个数据集功能一样预设事件签名© 2012 IBM Corporation16IBM网络入侵防御系统客户益处：Web应用防护（智能WAF）￿© 2012 IBM Corporation17Web应用防护策略使用￿Web￿Application￿Protection￿(WAP)策略，以：•启用一组签名，针对知名的Web应用安全攻击的防护•白名单选择参数White-list￿select￿parameters注意:￿IBM￿Rational®￿AppScan®￿客户，与IBM￿Security￿NIPS集成，可使用AppScan创建Web应用程序策略© 2012 IBM Corporation18Web￿Application￿Protection￿-￿Web￿Protection标签显示包含在Web￿Application类别中的签名指定Web￿Application类别到一个保护域© 2012 IBM Corporation19IBM网络入侵防御系统客户益处：高可用性© 2012 IBM Corporation20IBM￿网络入侵防御系统￿–￿高可靠性（续）高可用性￿(HA)•支持多种配置l主—主l主—备•切换时全状态维持•提供异地HA选项.© 2012 IBM Corporation21IBM￿网络入侵防御系统—￿部署三种操作模式保护•入侵防御•阻断恶意和不希望的通信•允许合法通讯毫无障碍地通过模拟•模拟防御•不阻断•对于它想阻断的事件报警旁路监听•精确的入侵检测•支持taps,￿hubs￿或￿SPAN￿端口•对恶意和不希望的通信进行监控© 2012 IBM Corporation22IBM网络入侵防御系统客户益处：虚拟环境保护© 2012 IBM Corporation23虚拟化有很多益处，但是带来新的复杂性虚拟化之后虚拟化之前 虚拟化使物理边界模糊了虚拟化使物理边界模糊了 虚拟化使得系统移动以及灵活部署和再部署系统非常容易，手工记录软件虚机的配置和映像变虚拟化使得系统移动以及灵活部署和再部署系统非常容易，手工记录软件虚机的配置和映像变得非常困难得非常困难. .© 2012 IBM Corporation24缺乏可见性——————————资源共享——————————单点故障更多组件￿=￿更多暴漏传统威胁虚拟服务器资源——————————动态重定位——————————动态VM状态——————————VM￿stealing在硬件中隐藏rootkit成为可能——————————虚拟网卡和虚拟硬件成为目标管理漏洞——————————虚机的安全存储和数据管理——————————需要新的技能针对虚拟环境的新威胁传统威胁可以攻击虚机，就跟真实系统一样虚拟化的安全挑战：新风险￿© 2012 IBM Corporation25IBM￿虚拟服务器保护（VSP）针对￿VMware￿vSphere￿4的集成威胁防护通过为虚拟数据中心提供整合和优化安全，帮助客户更加安全，合规和高性价比nVMsafe整合n防火墙和入侵防护nRootkit检测/防护n虚机之间通信分析n自动保护移动虚机(VMotion)n虚拟网段保护n虚拟网络级保护n虚拟架构审计（特权用户）n虚拟网络访问控制nWeb应用防护n虚拟补丁n集中管理IBM￿虚拟服务器保护（VSP）按每个￿ESX授权© 2012 IBM Corporation26IBM网络入侵防御系统客户案例© 2012 IBM Corporation27成功案例:XX基金￿客户问题网络主要分为外网区域（DMZ）和内网区域，外网区域还分为公司网站区域和业务区域，而内网核心区域包含中间件服务器区域和数据库服务器区域，这些区域前期主要依靠防火墙来进行隔离和防护，由于没有更进一步的防护措施，使得一些攻击渗透手段无法检测出来，随着公司业务不断扩展，服务器的压力及重要性也越来越高，任何网络的安全威胁对于XX基金来说都是无法接受的。

￿解决方案:IBM￿GX5108入侵防护系统￿IBM￿SiteProtector统一安全管理平台￿收益用户部署了入侵防护系统以后检测出大量的SQL注入攻击及WEB、邮件系统攻击行为，通过与应用开发部门协调后确定部分为真正的攻击行为，并将IPS部署模式切换成防护，有效保护了内部核心服务器区域￿行业:￿GB简介:￿￿XX基金管理有限公司成立于199X年X月X日，目前，公司业务覆盖公募基金、全国社保基金、企业年金基金，是我国业务领域最广的基金管理公司之一Internal￿Use￿Only27© 2012 IBM Corporation28成功案例:￿XX航空客户需求￿￿￿￿确保X航信息系统安全运行XXX保障任务中重要的一环￿￿￿￿解决方案:IBM￿GX入侵防护系统IBM￿SiteProtector统一安全管理平台收益成功保障XX期间X航信息系统零故障安全运行，成功阻止了数百万次SQL注入、暴力破解等各种攻击尝试，圆满完成保障任务2008年11月28日，民航XX信息网络安全保障工作总结表彰会上，X航作为被表彰的先进单位上台与大家分享XX保障经验￿产品上线以后，有效地限制了BT、Edonkey等P2P应用，保障网络带宽合理使用。

￿简介:中国XX航空股份有限公司28© 2012 IBM Corporation29成功案例:XX电力公司客户需求XX电力网络改造￿–￿此项目为20XX年XX保障工程的一部分，意义重大下联节点多，各地分公司网络结构多样、复杂，存在安全风险及隐患缺少专业的安全评估工具和入侵防护设备已有Symantec桌面防毒软件不能提供个人的入侵防护能力解决方案:IBM￿IPS￿(GX)￿–￿I千兆、百兆IPS产品，连接方式，提供实时防护IBM￿Desktop￿Protection￿–￿个人防火墙、入侵防护IBM￿SiteProtector￿提供全面、实时安全管理平台，并提供安全事件相关性分析、专业报告生成收益得到世界级的安全产品，增强系统防护能力通过升级，虚拟补丁等服务机制享受ISS￿X-Force所有的研究成果，实现真正的前瞻性防护通过培训、学习，安全运维人员的认识、水平得到提高，能做到系统、准确地制定安全防范策略、及时采取防范措施，并能及时掌握网络受到的攻击情况和提供的相应的防范效果个人终端用户的被黑客攻击事件基本杜绝，并不需要频繁升级，减少运维人员工作量通过培训、学习，安全运维人员的认识、水平得到提高，能做到系统、准确地制定安全防范策略、及时采取防范措施。

并能及时掌握网络受到的攻击情况和提供的相应的防范效果简介:XX电力公司是国家电网公司所属省级电力公司，29© 2012 IBM Corporation30成功案例:￿XX大学客户问题XX大学XXX区为一所新建的校区，校园网采用了Cisco的交换机和路由器，在校园网的入口处部署了防火墙作为内部的安全防御系统自XXX校区网络中心机房建成投入使用后，为校园网提供了高带宽、高可用性的网络环境随着网络应用的不断普及，越来越多的应用系统依赖于校园网运行，但随之而来的网络安全事件也频频发生自20XX年X月以来，校内多个部门的服务器发生了被黑客入侵、篡改主页、发布不良信息等事件，造成了一定的负面影响，同时也受到市公安局网监处和网络警察支队的高度关注解决方案IBM￿GX6116入侵防护系统IBM￿GX5208入侵防护系统IBM￿SiteProtector统一安全管理平台￿收益在入侵防护系统部署后前期发现了大量的攻击行为包括注入攻击、RPC攻击、DNS攻击及DDOS攻击，但是IBM￿ISS￿IPS成功阻挡了这些攻击行为，经过3个月左右的时间，攻击行为明显减少，校园网及服务器也没有遭受任何攻击简介:￿￿XX大学是中央直管、教育部直属的全国重点大学，是“985工程”和“211工程”重点建设的大学之一，是国务院首批可授予博士、硕士、学士学位和审定教授、副教授任职资格及自批增列博士生导师的高校。

￿.30© 2012 IBM Corporation3131ISS客户案例© 2012 IBM Corporation32 ISS 前瞻企业安全解决方案意味着：￿￿拥有全球最顶尖的安全智库X-Force端到端的企业安全机制，包括针对服务器、网络和网关的安全解决方案Virtual￿Patch￿虚拟补丁提供前瞻动态威胁防护，高效阻断各类混合威胁帮助您实现更高的安全项目投资回报率满足风险管理与合规要求提供可视化集中安全管理平台，降低安全运维管理复杂度更多自动控制功能以降低￿IT￿安全总拥有成本提供企业用户更高安全信心总而言之… ISS 使企业用户能够前瞻性的轻松面对安全威胁！安全威胁！ 为企业安全未雨绸缪，不战而胜！为企业安全未雨绸缪，不战而胜！选择￿IBM￿威胁缓解解决方案的收益轻松实现前瞻性、多层面、动态威胁保护安全轻松实现前瞻性、多层面、动态威胁保护安全© 2012 IBM Corporation33Thank You & Q/A个人观点供参考，欢迎讨论。