Ecosystem

Blue Coat Security
Ecosystem
ELEMENTY EKOSYSTEMU BLUE COAT
Proxy Secure Gateway
W dobie zaawansowanych ataków, definiowanych jako zagrożenia APT, ochrona ruchu www uzyskuje coraz wyższy priorytet na liście projektów realizowanych w organizacjach.
Proxy Secure Gateway oferuje kompleksową ochronę oraz kontrolę ruchu www, a dzięki możliwości cache’owania obiektów oraz akceleracji ruchu gwarantuje przy tym
zwiększenie wygody użytkownika. Proxy uzupełnione o licencję Inteligent Services (następcę znanej użytkownikom licencji Web Filter) pozwala na szybkie kategoryzowanie
stron www pod kątem dostarczanej zawartości oraz bezpieczeństwa, oraz nadawanie adresom URL odpowiedniej oceny od 1 do 10, która odzwierciedla poziom jego ryzyka.
To wszystko w połączeniu z geolokalizacją daje użytkownikom możliwość bardzo szczegółowej kontroli ruchu, pozwalając tym samym mniejszym organizacjom o mniejszych
budżetach na systemy bezpiczeństwa skutecznie zabezpieczyć się przed zagrożeniami APT.
•
•
•
•
•
•
•
Dostępność rozwiązania w postaci usługi, sprzętu oraz platformy wirtualnej
Kategoryzacja stron URL realizowana w oparciu o ponad 80 kategorii, z rozpoznawaniem 55 języków
Multikategoryzacja stron pozwalająca na blokowanie niebezpiecznej lub niepożądanej treści osadzonej w dozwolonej stronie np. blokowanie gier online
(kategoria Games) na portalu Facebook (kategoria Social Networking)
Ochrona przed zaawansowanym malware
Rozpoznawanie typów i kontrola plików
Uwierzytelnianie i autoryzacja użytkowników dla każdej sesji indywidualnie
Integracja z Bluecoat Global Intelligence Network
Content Analysis System
Rozwiązanie Content Analysis to technologiczny następca Proxy AV. Urządzenie pozwala na skanowanie jednym lub dwoma niezależnymi silnikami AV (dostępne do wyboru
Sophos, Kaspersky, McAfee) i statyczną analizę, co znacznie podnosi poziom trafnego wykrywania zagrożeń. Dodatkowo system pozwala na white listing plików pochodzących
z legalnego, zaufanego źródła. Współpracując z Blue Coat Proxy SG oraz z Malware Analysis Appliance (lub innym sandboxem z grona partnerów ekosysemu) Content Analysis
System pozwala na ochronę przed zaawansowanym malware w czasie rzeczywistym.
•
•
•
•
•
•
Ochrona ruchu przychodzącego i wychodzącego
Skanowanie plików skompresowanych do 99 warstw kompresji
Skanowanie dużych plików do 5 GB
Możliwość równoczesnego wykorzystania dwóch silników AV i analizy statycznej
White listing plików pochodzących z zaufanego źródła
Sandboxing in-line we współpracy z Malware Analysis Appliance
Advanced Secure Gateway
Rozwiązanie łączy w sobie funkcjonalność Proxy Secure Gateway z inteligencją Content Analysis System spełniając oczekiwania użytkowników, którym zależy na kompleksowej
ochronie w postaci jednego urządzenia. Advanced Secure Gateway kontroluje komunikację webową blokując dostęp do stron niebezpiecznych lub niezgodnych z polityką
firmy, podczas gdy silniki AV znanych producentów (Sophos, Kaspersky, McAfee) dodatkowo sprawdzają ruch na obecność wirusów, trojanów i innych zdefiniowanych
zagrożeń. Opcja white list pozwala na wyłączenie ze skanowania obiektów i aplikacji zaufanych co znacznie poprawia wydajność analizy.
•
•
•
•
•
•
•
•
•
•
Kategoryzacja stron URL realizowana w oparciu o ponad 80 kategorii, z rozpoznawaniem 55 języków
Multikategoryzacja stron pozwalająca na blokowanie niebezpiecznej lub niepożądanej treści osadzonej w dozwolonej stronie np. blokowanie gier online
(kategoria Games) na portalu Facebook (kategoria Social Networking)
Ochrona przez zaawansowanym malware
Rozpoznawanie typów i kontrola plików
Uwierzytelnianie i autoryzacja użytkowników dla każdej sesji indywidualnie
Skanowanie plików skompresowanych do 99 warstw kompresji
Skanowanie dużych plików do 5 GB
Możliwość równoczesnego wykorzystania dwóch silników AV i analizy statycznej
White listing plików pochodzących z zaufanego źródła
Sandboxing in-line we współpracy z Malware Analysis Appliance
SSL Visibility Appliance
Szyfrowanie ruchu zapewnia prywatność i integralność przesyłanych danych, ale równocześnie pozostawia ogromną furtkę w systemach bezpieczeństwa, bardzo chętnie
wykorzystywaną przez hakerów oraz zaawansowany malware. Szacuje się, że ruch szyfrowany stanowi przeciętnie od 20 do 50% ruchu w organizacjach, a zgodnie z
przewidywaniami Gartnera ten udział będzie wzrastał o 20% rocznie. Co więcej szacuje się, że do 2017 roku ponad 50% zaawansowanego malware będzie się rozprzestrzeniać
za pośrednictwem szyfrowanych protokołów. SSL Visibility Appliance stanowi integralny komponent systemów bezpieczeństwa, zapewniając widoczność całości ruchu.
Urządzenie rozpoznaje ruch SSL niezależnie od portu oraz aplikacji, a następnie deszyfruje go, w celu przesłania pakietów do analizy przez dowolny system – np. IPS, AV,
sandbox, zaawansowanej analizy czy logowania. Dodatkowa licencja kategoryzacji URL pozwala na budowanie polityk wyłączających z dekrypcji ruch traktowany jako
poufny np. komunikacja z bankowością online, portalami związanymi z ochroną zdrowia itp.
•
•
•
•
•
•
•
•
•
Automatyczne wykrywanie protokołów SSL/TLS niezależnie od numeru portu czy aplikacji
Automatyczne wykrywanie zagrożeń rozprzestrzeniających się protokołami szyfrowanymi np. trojan Zeus
Selektywne deszyfrowanie ruchu w celu zapewnienia prywatności poufnych danych
Wygodna integracja z aktywnymi (UTM, NGFW, IPS) i pasywnymi (np. IDS) systemami trzecich firm (decrypt once feed many)
Wysoka wydajność nawet do 9 Gbps ruchu z obsługą ponad 70 cipher suites
Pełna przezroczystość w sieci lokalnej bez konieczności rekonfiguracji adresacji IP czy topologii sieci
Elastyczność implementacji pozwalająca na podpięcie urządzeń w trybie in-line lub tap z jednego lub wielu segmentów sieci
Wsparcie dla ruchu przychodzącego oraz wychodzącego z obsługą asymetrycznego routingu
Integracja z Bluecoat Global Intelligence Network
Ochrona Poczty
INTERNET
GLOBAL
INTELLIGENCE
NETWORK
Gmail
Office 365
SPAM FILTER
MAIL THREAT
DEFENCE
FIREWALL
Web Filtering + AV
ADVANCED
SECURE
GATEWAY
PROXY SECURE
GATEWAY
Analiza ruchu SSL
Sandboxing
SECURITY ANALYTICS
MAIL FILE WEB
THREAT BLADES
SSL VISIBILITY
APPLIANCE
CONTENT ANALYSIS
SYSTEM
IPS*
IDS*
SANDBOX*
MALWARE ANALYSIS
APPLIANCE
Analiza i Zarządzanie
MANAGEMENT CENTER
REPORTER
*SYSTEMY INNYCH PRODUCENTÓW
JAK DZIAŁA BLUE COAT SECURITY ECOSYSTEM?
Pierwszym punktem kontroli ruchu jest serwer proxy, gdzie następuje klasyfikacja ruchu zgodnie z politykami
skonfigurowanymi w oparciu o kategorie oraz profile użytkowników. Urządzenia proxy deszyfrują ruch na potrzeby
analizy, a dzięki licencji Blue Coat Web Filtering odbywa się blokowanie dostępu do zainfekowanych stron www lub
ograniczanie dostępu do stron niezwiązanych z zadaniami służbowymi. Zastępując Web Filtering licencją Blue Coat
Intelligence Services, administrator zyskuje dodatkowo możliwość korzystania z rankingu stron www, który stanowi
wstęp do ochrony przed zaawansowanym malware. Tak odfiltrowany ruch poddawany jest szczegółowej kontroli
antywirusowej, a skanowanie może odbywać się w oparciu o równolegle pracujące dwa niezależne silniki.
W środowiskach, gdzie udział ruchu szyfrowanego jest duży lub gdy systemy innych producentów nie oferują takich
funkcji, ważnym elementem bezpieczeństwa sieciowego jest dekrypcja SSL. Urządzenia Blue Coat SSL Visibility
Appliance realizując politykę „decrypt one feed many” wspierają wiele systemów pasywnych takich jak Intrusion
Detection System czy aktywnych, które działając in-line reagują w czasie rzeczywistym na incydenty, np. Intrusion
Prevention System. Co najważniejsze SSL VA to jedno z nielicznych rozwiązań na rynku, które wspiera najnowsze
cipher suite`s.
Próbki, które są podejrzane, ale nie zostały zablokowane przy skanowaniu sygnaturowym trafiają do platformy
sandbox. Otwarty ekosystem Blue Coat pozwala wysłać próbki do własnego sandboxa Malware Analysis Appliance lub
do sandboxa innej firmy np. Fire Eye.
Analiza ruchu obejmuje również protokoły pocztowe. Malware Threat Defence skanuje pocztę w poszukiwaniu
zainfekowanych załączników i linków, a współpraca z sandboxem daje ochronę przed zagrożeniami APT. W sytuacji
kiedy sandbox wykryje zagrożenie, nie jest jednak jasne jak doszło do infekcji, pomocnym okazuje się rozwiązanie
Security Analytics będące swego rodzaju kamerą w sieci, która pozwala na nagranie ruchu i odtworzenie dowolnej
sesji w dowolnym czasie.
ELEMENTY EKOSYSTEMU BLUE COAT
Malware Analysis Appliance
Blue Coat Malware Analysis Appliance jest kluczowym rozwiązaniem w realizowanej przez producenta koncepcji ochrony przed zagrożeniami APT. Sandbox do wykrywania
i analizy zagrożeń APT wykorzystuje wirtualizację pozwalającą na odwzorowanie różnych systemów operacyjnych z pełną możliwością dostosowywania obrazów (np. przez
instalację używanego w firmie oprogramowania w konkretnych wersjach). Dodatkowo w zaawansowany sposób emulowane jest sztucznie środowisko PC, co skutecznie
chroni przed obchodzeniem sandboxów przez malware.
•
•
•
•
•
Emulacja sprzętu oraz możliwość tworzenia konfigurowalnych obrazów systemów będących odwzorowaniem środowiska w organizacji (do 55 instancji na 1
urządzeniu)
Wykorzystanie statycznych oraz dynamicznych technik analizy
Dowolność konfiguracji kryteriów analizy oraz parametrów szacowania ryzyka
Wymiana informacji z Global Intelligence Network – bazą zagrożeń Blue Coat zasilaną przez ponad 75 mln użytkowników na całym świecie
Wsparcie dla systemu Android
Security Analytics
Rozwiązanie Blue Coat Security Analytics jest częścią platformy zaprojektowanej dla szybkiej i skutecznej analizy incydentów naruszających bezpieczeństwo w organizacji.
System umożliwia przechwytywanie całości ruchu w czasie rzeczywistym, który następnie jest wykorzystywany do analizy i rekonstrukcji incydentów. Security Analytics
oferuje administratorom wgląd w pełen kontekst wydarzenia, czyli pokazuje kto, w jaki sposób, jakimi protokołami, na jakich serwerach i w jakim czasie dokonał infekcji.
Tylko taka retrospekcja pozwala na zabezpieczenie się przed podobnymi incydentami w przyszłości. Dodatkowe wyposażenie systemu w licencje Mail, Web oraz File Blade
dodatkowo pozwala skanować ruch na obecność zdefiniowanych już zagrożeń, a integracja z platformami sandbox pozwala analizować nieznane, ale podejrzane pliki. Blue
Coat Security Analytics jest elementem ekosystemu, którego punktem centralnym jest Global Inteligence Network, czyli ogromna baza wiedzy zasilana przez informacje
przesyłane przez ponad 75 mln użytkowników każdego dnia.
•
•
•
•
Przechwytywanie całości ruchu do analizy
Wykrywanie i blokowanie potencjalnie niebezpiecznych plików oraz linków dystrybuowanych za pośrednictwem protokołów mail oraz web
Klasyfikacja ponad 2400 aplikacji
Mnogość narzędzi analitycznych takich jak rekonstrukcja sesji, wizualizacja danych, geolokalizacja, analiza trendu, Root Cause Explorer i wiele innych
Mail Threat Defence
Ruch mailowy jest jednym z najczęściej wybieranych wektorów ataku w przypadku zagrożeń APT. Wiadomości zawierające zainfekowane linki lub załączniki mogą służyć
jako sposób wejścia do danej organizacji lub same w sobie wykonywać określone akcje np. celem wyłudzenia okupu – przykładem może tutaj być wirus szyfrujący dysk
(Cryptolocker). Blue Coat Mail Threat Defence chroni użytkowników przed zagrożeniami w ruchu pocztowym rozpoznając złośliwą zawartość zanim wiadomość zostanie
dostarczona do użytkownika. Rozwiązanie wykorzystuje wiele technik rozpoznawania i blokowania zagrożeń stosowanych szeroko w rozwiązaniach takich jak Blue Coat
Proxy SG czy Content Analysis System. W przypadku wykrywania nowych, niezdefiniowanych jeszcze zagrożeń, urządzenie wysyła plik do detonacji w Malware Analysis
Appliance.
•
•
•
Możliwość wykrywania oraz blokowania zainfekowanych adresów URL oraz załączników
Konfigurowalne akcje ostrzegania, usuwania złośliwych załączników lub kwarantanny
Współpraca z Malware Analysis Appliance w celu wykrywania nowych, potencjalnych zagrożeń
Management Center oraz Reporter
W celu zapewnienia wygody użytkowania oraz szczegółowego raportowania Blue Coat dostarcza również rozwiązania wspomagające pracę administratorów. Management
Center to konsola centralnego zarządzania pozwalająca na konfigurację, aktualizację oraz synchronizację polityk na użytkowanych urządzeniach Blue Coat. Pozwoli również
na łatwą implementację trybu wysokiej dostępności. Reporter to rozwiązanie pozwalające na analizowanie logów i generowanie przejrzystych raportów dotyczących
zagrożeń, najczęściej przeglądanych stron, użytkowników najbardziej wysycających łącze itp.
Autoryzowany Dystrybutor rozwiązań Blue Coat w Polsce
www.veracomp.pl
Copyright 2016 Veracomp SA, Blue Coat Systems, Inc. Wszystkie znaki zastrzeżone. Nazwa i logo Blue Coat są znakami handlowymi należącymi do Blue Coat Systems, Inc.