Ecosystem
Transkrypt
Ecosystem
Blue Coat Security Ecosystem ELEMENTY EKOSYSTEMU BLUE COAT Proxy Secure Gateway W dobie zaawansowanych ataków, definiowanych jako zagrożenia APT, ochrona ruchu www uzyskuje coraz wyższy priorytet na liście projektów realizowanych w organizacjach. Proxy Secure Gateway oferuje kompleksową ochronę oraz kontrolę ruchu www, a dzięki możliwości cache’owania obiektów oraz akceleracji ruchu gwarantuje przy tym zwiększenie wygody użytkownika. Proxy uzupełnione o licencję Inteligent Services (następcę znanej użytkownikom licencji Web Filter) pozwala na szybkie kategoryzowanie stron www pod kątem dostarczanej zawartości oraz bezpieczeństwa, oraz nadawanie adresom URL odpowiedniej oceny od 1 do 10, która odzwierciedla poziom jego ryzyka. To wszystko w połączeniu z geolokalizacją daje użytkownikom możliwość bardzo szczegółowej kontroli ruchu, pozwalając tym samym mniejszym organizacjom o mniejszych budżetach na systemy bezpiczeństwa skutecznie zabezpieczyć się przed zagrożeniami APT. • • • • • • • Dostępność rozwiązania w postaci usługi, sprzętu oraz platformy wirtualnej Kategoryzacja stron URL realizowana w oparciu o ponad 80 kategorii, z rozpoznawaniem 55 języków Multikategoryzacja stron pozwalająca na blokowanie niebezpiecznej lub niepożądanej treści osadzonej w dozwolonej stronie np. blokowanie gier online (kategoria Games) na portalu Facebook (kategoria Social Networking) Ochrona przed zaawansowanym malware Rozpoznawanie typów i kontrola plików Uwierzytelnianie i autoryzacja użytkowników dla każdej sesji indywidualnie Integracja z Bluecoat Global Intelligence Network Content Analysis System Rozwiązanie Content Analysis to technologiczny następca Proxy AV. Urządzenie pozwala na skanowanie jednym lub dwoma niezależnymi silnikami AV (dostępne do wyboru Sophos, Kaspersky, McAfee) i statyczną analizę, co znacznie podnosi poziom trafnego wykrywania zagrożeń. Dodatkowo system pozwala na white listing plików pochodzących z legalnego, zaufanego źródła. Współpracując z Blue Coat Proxy SG oraz z Malware Analysis Appliance (lub innym sandboxem z grona partnerów ekosysemu) Content Analysis System pozwala na ochronę przed zaawansowanym malware w czasie rzeczywistym. • • • • • • Ochrona ruchu przychodzącego i wychodzącego Skanowanie plików skompresowanych do 99 warstw kompresji Skanowanie dużych plików do 5 GB Możliwość równoczesnego wykorzystania dwóch silników AV i analizy statycznej White listing plików pochodzących z zaufanego źródła Sandboxing in-line we współpracy z Malware Analysis Appliance Advanced Secure Gateway Rozwiązanie łączy w sobie funkcjonalność Proxy Secure Gateway z inteligencją Content Analysis System spełniając oczekiwania użytkowników, którym zależy na kompleksowej ochronie w postaci jednego urządzenia. Advanced Secure Gateway kontroluje komunikację webową blokując dostęp do stron niebezpiecznych lub niezgodnych z polityką firmy, podczas gdy silniki AV znanych producentów (Sophos, Kaspersky, McAfee) dodatkowo sprawdzają ruch na obecność wirusów, trojanów i innych zdefiniowanych zagrożeń. Opcja white list pozwala na wyłączenie ze skanowania obiektów i aplikacji zaufanych co znacznie poprawia wydajność analizy. • • • • • • • • • • Kategoryzacja stron URL realizowana w oparciu o ponad 80 kategorii, z rozpoznawaniem 55 języków Multikategoryzacja stron pozwalająca na blokowanie niebezpiecznej lub niepożądanej treści osadzonej w dozwolonej stronie np. blokowanie gier online (kategoria Games) na portalu Facebook (kategoria Social Networking) Ochrona przez zaawansowanym malware Rozpoznawanie typów i kontrola plików Uwierzytelnianie i autoryzacja użytkowników dla każdej sesji indywidualnie Skanowanie plików skompresowanych do 99 warstw kompresji Skanowanie dużych plików do 5 GB Możliwość równoczesnego wykorzystania dwóch silników AV i analizy statycznej White listing plików pochodzących z zaufanego źródła Sandboxing in-line we współpracy z Malware Analysis Appliance SSL Visibility Appliance Szyfrowanie ruchu zapewnia prywatność i integralność przesyłanych danych, ale równocześnie pozostawia ogromną furtkę w systemach bezpieczeństwa, bardzo chętnie wykorzystywaną przez hakerów oraz zaawansowany malware. Szacuje się, że ruch szyfrowany stanowi przeciętnie od 20 do 50% ruchu w organizacjach, a zgodnie z przewidywaniami Gartnera ten udział będzie wzrastał o 20% rocznie. Co więcej szacuje się, że do 2017 roku ponad 50% zaawansowanego malware będzie się rozprzestrzeniać za pośrednictwem szyfrowanych protokołów. SSL Visibility Appliance stanowi integralny komponent systemów bezpieczeństwa, zapewniając widoczność całości ruchu. Urządzenie rozpoznaje ruch SSL niezależnie od portu oraz aplikacji, a następnie deszyfruje go, w celu przesłania pakietów do analizy przez dowolny system – np. IPS, AV, sandbox, zaawansowanej analizy czy logowania. Dodatkowa licencja kategoryzacji URL pozwala na budowanie polityk wyłączających z dekrypcji ruch traktowany jako poufny np. komunikacja z bankowością online, portalami związanymi z ochroną zdrowia itp. • • • • • • • • • Automatyczne wykrywanie protokołów SSL/TLS niezależnie od numeru portu czy aplikacji Automatyczne wykrywanie zagrożeń rozprzestrzeniających się protokołami szyfrowanymi np. trojan Zeus Selektywne deszyfrowanie ruchu w celu zapewnienia prywatności poufnych danych Wygodna integracja z aktywnymi (UTM, NGFW, IPS) i pasywnymi (np. IDS) systemami trzecich firm (decrypt once feed many) Wysoka wydajność nawet do 9 Gbps ruchu z obsługą ponad 70 cipher suites Pełna przezroczystość w sieci lokalnej bez konieczności rekonfiguracji adresacji IP czy topologii sieci Elastyczność implementacji pozwalająca na podpięcie urządzeń w trybie in-line lub tap z jednego lub wielu segmentów sieci Wsparcie dla ruchu przychodzącego oraz wychodzącego z obsługą asymetrycznego routingu Integracja z Bluecoat Global Intelligence Network Ochrona Poczty INTERNET GLOBAL INTELLIGENCE NETWORK Gmail Office 365 SPAM FILTER MAIL THREAT DEFENCE FIREWALL Web Filtering + AV ADVANCED SECURE GATEWAY PROXY SECURE GATEWAY Analiza ruchu SSL Sandboxing SECURITY ANALYTICS MAIL FILE WEB THREAT BLADES SSL VISIBILITY APPLIANCE CONTENT ANALYSIS SYSTEM IPS* IDS* SANDBOX* MALWARE ANALYSIS APPLIANCE Analiza i Zarządzanie MANAGEMENT CENTER REPORTER *SYSTEMY INNYCH PRODUCENTÓW JAK DZIAŁA BLUE COAT SECURITY ECOSYSTEM? Pierwszym punktem kontroli ruchu jest serwer proxy, gdzie następuje klasyfikacja ruchu zgodnie z politykami skonfigurowanymi w oparciu o kategorie oraz profile użytkowników. Urządzenia proxy deszyfrują ruch na potrzeby analizy, a dzięki licencji Blue Coat Web Filtering odbywa się blokowanie dostępu do zainfekowanych stron www lub ograniczanie dostępu do stron niezwiązanych z zadaniami służbowymi. Zastępując Web Filtering licencją Blue Coat Intelligence Services, administrator zyskuje dodatkowo możliwość korzystania z rankingu stron www, który stanowi wstęp do ochrony przed zaawansowanym malware. Tak odfiltrowany ruch poddawany jest szczegółowej kontroli antywirusowej, a skanowanie może odbywać się w oparciu o równolegle pracujące dwa niezależne silniki. W środowiskach, gdzie udział ruchu szyfrowanego jest duży lub gdy systemy innych producentów nie oferują takich funkcji, ważnym elementem bezpieczeństwa sieciowego jest dekrypcja SSL. Urządzenia Blue Coat SSL Visibility Appliance realizując politykę „decrypt one feed many” wspierają wiele systemów pasywnych takich jak Intrusion Detection System czy aktywnych, które działając in-line reagują w czasie rzeczywistym na incydenty, np. Intrusion Prevention System. Co najważniejsze SSL VA to jedno z nielicznych rozwiązań na rynku, które wspiera najnowsze cipher suite`s. Próbki, które są podejrzane, ale nie zostały zablokowane przy skanowaniu sygnaturowym trafiają do platformy sandbox. Otwarty ekosystem Blue Coat pozwala wysłać próbki do własnego sandboxa Malware Analysis Appliance lub do sandboxa innej firmy np. Fire Eye. Analiza ruchu obejmuje również protokoły pocztowe. Malware Threat Defence skanuje pocztę w poszukiwaniu zainfekowanych załączników i linków, a współpraca z sandboxem daje ochronę przed zagrożeniami APT. W sytuacji kiedy sandbox wykryje zagrożenie, nie jest jednak jasne jak doszło do infekcji, pomocnym okazuje się rozwiązanie Security Analytics będące swego rodzaju kamerą w sieci, która pozwala na nagranie ruchu i odtworzenie dowolnej sesji w dowolnym czasie. ELEMENTY EKOSYSTEMU BLUE COAT Malware Analysis Appliance Blue Coat Malware Analysis Appliance jest kluczowym rozwiązaniem w realizowanej przez producenta koncepcji ochrony przed zagrożeniami APT. Sandbox do wykrywania i analizy zagrożeń APT wykorzystuje wirtualizację pozwalającą na odwzorowanie różnych systemów operacyjnych z pełną możliwością dostosowywania obrazów (np. przez instalację używanego w firmie oprogramowania w konkretnych wersjach). Dodatkowo w zaawansowany sposób emulowane jest sztucznie środowisko PC, co skutecznie chroni przed obchodzeniem sandboxów przez malware. • • • • • Emulacja sprzętu oraz możliwość tworzenia konfigurowalnych obrazów systemów będących odwzorowaniem środowiska w organizacji (do 55 instancji na 1 urządzeniu) Wykorzystanie statycznych oraz dynamicznych technik analizy Dowolność konfiguracji kryteriów analizy oraz parametrów szacowania ryzyka Wymiana informacji z Global Intelligence Network – bazą zagrożeń Blue Coat zasilaną przez ponad 75 mln użytkowników na całym świecie Wsparcie dla systemu Android Security Analytics Rozwiązanie Blue Coat Security Analytics jest częścią platformy zaprojektowanej dla szybkiej i skutecznej analizy incydentów naruszających bezpieczeństwo w organizacji. System umożliwia przechwytywanie całości ruchu w czasie rzeczywistym, który następnie jest wykorzystywany do analizy i rekonstrukcji incydentów. Security Analytics oferuje administratorom wgląd w pełen kontekst wydarzenia, czyli pokazuje kto, w jaki sposób, jakimi protokołami, na jakich serwerach i w jakim czasie dokonał infekcji. Tylko taka retrospekcja pozwala na zabezpieczenie się przed podobnymi incydentami w przyszłości. Dodatkowe wyposażenie systemu w licencje Mail, Web oraz File Blade dodatkowo pozwala skanować ruch na obecność zdefiniowanych już zagrożeń, a integracja z platformami sandbox pozwala analizować nieznane, ale podejrzane pliki. Blue Coat Security Analytics jest elementem ekosystemu, którego punktem centralnym jest Global Inteligence Network, czyli ogromna baza wiedzy zasilana przez informacje przesyłane przez ponad 75 mln użytkowników każdego dnia. • • • • Przechwytywanie całości ruchu do analizy Wykrywanie i blokowanie potencjalnie niebezpiecznych plików oraz linków dystrybuowanych za pośrednictwem protokołów mail oraz web Klasyfikacja ponad 2400 aplikacji Mnogość narzędzi analitycznych takich jak rekonstrukcja sesji, wizualizacja danych, geolokalizacja, analiza trendu, Root Cause Explorer i wiele innych Mail Threat Defence Ruch mailowy jest jednym z najczęściej wybieranych wektorów ataku w przypadku zagrożeń APT. Wiadomości zawierające zainfekowane linki lub załączniki mogą służyć jako sposób wejścia do danej organizacji lub same w sobie wykonywać określone akcje np. celem wyłudzenia okupu – przykładem może tutaj być wirus szyfrujący dysk (Cryptolocker). Blue Coat Mail Threat Defence chroni użytkowników przed zagrożeniami w ruchu pocztowym rozpoznając złośliwą zawartość zanim wiadomość zostanie dostarczona do użytkownika. Rozwiązanie wykorzystuje wiele technik rozpoznawania i blokowania zagrożeń stosowanych szeroko w rozwiązaniach takich jak Blue Coat Proxy SG czy Content Analysis System. W przypadku wykrywania nowych, niezdefiniowanych jeszcze zagrożeń, urządzenie wysyła plik do detonacji w Malware Analysis Appliance. • • • Możliwość wykrywania oraz blokowania zainfekowanych adresów URL oraz załączników Konfigurowalne akcje ostrzegania, usuwania złośliwych załączników lub kwarantanny Współpraca z Malware Analysis Appliance w celu wykrywania nowych, potencjalnych zagrożeń Management Center oraz Reporter W celu zapewnienia wygody użytkowania oraz szczegółowego raportowania Blue Coat dostarcza również rozwiązania wspomagające pracę administratorów. Management Center to konsola centralnego zarządzania pozwalająca na konfigurację, aktualizację oraz synchronizację polityk na użytkowanych urządzeniach Blue Coat. Pozwoli również na łatwą implementację trybu wysokiej dostępności. Reporter to rozwiązanie pozwalające na analizowanie logów i generowanie przejrzystych raportów dotyczących zagrożeń, najczęściej przeglądanych stron, użytkowników najbardziej wysycających łącze itp. Autoryzowany Dystrybutor rozwiązań Blue Coat w Polsce www.veracomp.pl Copyright 2016 Veracomp SA, Blue Coat Systems, Inc. Wszystkie znaki zastrzeżone. Nazwa i logo Blue Coat są znakami handlowymi należącymi do Blue Coat Systems, Inc.