Stonesoft StoneGate IPS
Производитель: Stonesoft
В основе работы семейства StoneGate IPS заложена функциональность обнаружения и предотвращения вторжений, которая использует различные методы обнаружения: сигнатурный анализ, технология декодирования протоколов, не имеющих сигнатур, анализ аномалий протоколов, анализ поведения конкретных узлов, выявление статистических отклонений в потоке данных, корреляционный анализ происходящих событий.
StoneGate IPS предоставляет огромное количество возможностей по настройке и управлению. Обладая самыми современными возможностями по управлению политиками обнаружения вторжений, система позволяет составлять карты сети и проводить анализ сетевой активности в наглядном виде.
Это в первую очередь система управления безопасностью, а не отдельно стоящее устройство, оторванное от системы управления информационной безопасностью организации. Решение StoneGate IPS позволяет не просто собирать и анализировать, но ещё и обрабатывать информацию в наглядном и удобном для администратора режиме, осуществлять ответное реагирование, составлять отчеты, следить за сетевыми тенденциями, девиациями в поведении устройств, отслеживать состояние сетевой инфраструктуры и др.
Ключевыми особенностями решения, выгодно отличающими его на фоне конкурентов, помимо уже названных наглядности и удобства управления, являются такие технические новинки, как:
- обнаружение и предотвращение попыток НСД в режиме реального времени в прозрачном для пользователей режиме (производительность одного устройства может быть более 10 Гб/с);
- кластеризация и возможность плавного наращивания производительности;
- обширный список сигнатур атак (по содержанию, контексту сетевых пакетов и другим параметрам);
- защита от динамических техник обхода (antievasion)
- возможность обработки фрагментированного сетевого трафика;
- возможность выявления попыток туннелирования трафика, поддержка IPv6;
- инспекция внутри SSL/TLS;
- возможность борьбы с (D)DoS-атаками;
- декодирование протоколов для точного определения специфических атак для более чем 20 протоколов уровня приложений с возможностью задания специфических параметров для них;
- возможность фильтрации трафика по принципу «прозрачных» межсетевых экранов вплоть до 2-го уровня модели OSI (оперирование фреймами);
- возможность контроля нескольких сегментов на одном устройстве с разными скоростями – виртуализация сенсора;
- наличие встроенного аппаратного bypass-модуля для отказоустойчивости канала связи;
- возможность автоматического обновления базы данных правил инспекции потоков и системного ПО;
- блокировка или завершение нежелательных сетевых соединений (в том числе установки динамических фильтров на межсетевых экранах для блокирования атакующих), выдача HTML ответа пользователю с детализацией ошибки по факту блокирования;
- возможность профилирования сетей и сервисов (profile) для выявления новых сервисов и узлов, установленных без ведома администратора;
- анализ «историй» событий безопасности и расследования инцидентов;
- ведение аудита и выявление истории изменений, в том числе графического сравнения разных конфигураций сенсоров;
- редактирование и произвольное составление отчетов с помощью более 100 доступных счетчиков;
- встроенный анализатор событий, позволяющий эффективно снижать поток ложных срабатываний (доступна не только групповая, но и корреляция по последовательностям событий);
- создание собственных сигнатур атак, шаблонов анализа атак, аномалий и др.;
- распределенная многоуровневая система управления и мониторинга с возможностью создания отказоустойчивых конфигураций;
- мониторинг и управление (контекстное, tool profile) сторонними устройствами;
- сбор, хранение и консолидированная обработка событий от сторонних устройств;
- централизованное дистанционное обновление программного обеспечения вместе с операционной системой;
- интуитивно понятный интерфейс, интегрированный с межсетевым экраном StoneGate и системой построения VPN;
- ролевое разграничение полномочий администраторов и развитая система оповещения о событиях;
- поддержка иерархической доменной архитектуры в системе управления, позволяющей легко создавать новые сервисы для MSSP и подключать новых Клиентов;
- интеграция с технологией NAC и поддержка другими мировыми вендорами решений по обеспечению безопаности.
Отличительной особенностью StoneGate IPS, позволяющего сэкономить и обеспечивающего более низкую стоимость владения, является возможность кластеризации, что позволяет наращивать производительность кластера постепенно, доинсталлируя к уже имеющимся дополнительные узлы по мере роста нагрузки.
Сенсор способен анализировать более 10 Гб/с трафика в режиме реального времени (у конкурентов зачастую эта величина не превосходит 4 Гб/с, что делает невозможным их использование для мониторинга и выявления атак на полнодуплексных загруженных соединениях, например, в серверных фермах!).
Так же отличительной особенностью решения является возможность использования сенсора по принципу «прозрачного межсетевого экрана» - в этом случае он фильтрует трафик на втором (канальном) и вышележащих уровнях модели OSI, не модифицируя проходящие фреймы и не требуя изменения топологии сети, адресации или конфигурации других устройств. Все это, в совокупности с описанными выше технологиями кластеризации и отказоустойчивости, позволяет эффективно использовать StoneGate IPS в сложных условиях высокоскоростных сетей. «Глубокий анализ» пакетов доступен для всего набора протоколов уровня приложений модели OSI, которые умеет декодировать сенсор. Для системы StoneGate IPS это количество декодирующих агентов превышает 20 – это означает, что, например, для таких прикладных протоколов, как DNS, FTP, HTTP, SMTP, SSH, NBT, SMB, SIP, IMAP, LDAP, MSSQL, MYSQL, Oracle, TFTP, PPTP, POP3, RPC, SSH, сенсор умеет полностью разбирать последовательность установление соединения, логику работы целевой программы и умеет задавать ограничения на режим работы (т.е. легко обнаружит попытки туннелирования трафика внутри HTTP или SSH – выявит аномалию).
В отличие от решений большинства конкурентов, на сенсоре не только одновременно можно активировать «комбинированный» режим работы – когда сенсор осуществляет активный мониторинг нескольких каналов связи «на проход» (режим IPS), но и пассивно наблюдает за пакетами через разветвитель или SPAN-сессию (режим IDS), а также задать специфичные правила анализа для различных сегментов мониторинга.
При инспекции внутреннего и особенно внешнего, входящего из Интернет трафика актуальным является проверка его на предмет выявления аномалий, которые способны вывести сервер целиком или отдельный сервис из работы. Особенностью системы StoneGate IPS является также поддержка технологий борьбы с (D)DoS-атаками. С помощью предлагаемого решения выявление червей, вирусов и другой вредоносной активности возможно не только по выявлению отклонений в работе прикладных программ или протоколов, но и в результате обнаружения аномалий сетевых потоков без существенного влияния на легитимный пользовательский трафик. С помощью решений компании StoneSoft можно легко защитить серверный сегмент ЦОД, например, от распространенных SYN flood атак или ограничить атаки на основе TCP/UDP flood, выявить попытки горизонтального или вертикального сканирования, обнаружить туннелируемые протоколы и т.д.
Средство предотвращения вторжений StoneGate IPS имеет сертификат ФСТЭК на соответствие ТУ, по 3-му классу для МЭ и 4-у уровню контроля отсутствия НДВ, а также может использоваться для защиты информации в информационных системах персональных данных до класса К1 и автоматизированных системах класса 1Г включительно.
