IXIA ThreatARMOR: менше атак, менше алармов SIEM, краще ROI

Попалося нам в руки нове рішення від компанії IXIA – Threat Armor. І у нас вийшло його протестувати і розібратися, що ж це за «диво», яке з'явилося на початку цього року і вже встигло отримати велику кількість золотих нагород на різноманітних виставках у різних кінцях світу.



Спочатку трохи теорії. Якщо говорити про направлення безпеки, то IXIA вже давно є одним з лідерів в цій області зі своїм продуктом Breaking Point, який успішно тестує рішення безпеки будь-яких виробників. У Breaking Point «вкладені» знання команди ATI (Application and Threat Intelligence), яка вже більше десяти років «розбирає» атаки і популярні програми. Більш детально про Breaking Point можна почитати тут.

Дана команда ATI моніторить світову павутину на предмет нових загроз, працює в консорціумі з виробниками рішень безпеки, відповідно, це дозволяє накопичувати інформацію про актуальні загрози ІБ та їх джерелах. Саме ці знання і були вкладені в Threat Armor. Основним завданням Threat Armor є зменшення поверхні атак шляхом блокування небажаного трафіку, і відповідно зниження навантаження на пристрої безпеки (FW, WAF, NGFW, IPS і т. д.) і завдяки цьому скорочення кількості повідомлень SIEM. Threat Armor також аналізує вихідний трафік – наприклад, немає в мережі вже заражених клієнтів або частин ботнету.



Мало того. Threat Armor не тільки дає інформацію і блокує загрози ІБ, але і видає детальний Rap Sheet по кожному заблокованого IP. Актуальність цих даних забезпечується оновленням з хмарного сервісу дослідного центру ATI Research Center, який передає апдейти кожні 5 хвилин через менджмент-порт.

Threat Armor – це апаратний access-list, який прозоро пропускає трафік на швидкості лінії. Доступний у двох варіантах – 1 Гбіт/с і 10 Гбіт/с. В наші руки потрапив перший варіант.

Відмовостійкість забезпечується резервуванням по харчуванню (2 блоки живлення AC) і внутрішніми bypass, які продовжують пропускати трафік навіть при зникненні живлення на пристрої.

Threat Armor можна включати двома способами:

— більш ефективний – in-line;


— пасивний режим – monitoring;



У нашому випадку Threat Armor був включений в пасивному режимі, SPAN-портом між локальною мережею і файрволом для аналізу вхідного трафіку.

Було включено харчування, налаштований IP для менеджменту і оновлень, обраний режим ЗВІТУВАННЯ MODE – і пристрій запрацювало.


Також важливим пунктом є перевірка – підтягуються оновлення.


Перегляд статистики і звітів. Інтерфейс інтерактивної карти виявлених загроз та загальної статистики.


Тут можна подивитися статистику по кожній країні, наприклад, по Україні.



І Dashboard – інтерфейс деталізованої карти виявлених загроз країнам, детальної статистики та країн, з якими майже немає трафіку. Такі країни можна заблокувати, щоб убезпечити себе від можливих атак, наприклад від DDoS. Також видно, що трафіку з погрозами ІБ не така вже й велика кількість із загальної маси, але коефіцієнт захисту (Protection Score), з урахуванням самостійного штучного навчання пристрої, досить-таки високий – 71, що вказує на ефективність Threat Armor.


Заблокувати країни можна як безпосередньо з Dashboard,


так і з меню налаштувань, де також можна вручну додавати Black-list і White-list IP адреси.


Якщо вибрати будь-яку з країн, з Dashboard можна перейти до більш детальної інформації по IP зловмисників, сайти з шкідливим кодом, фішинговим сайтів і т. д.

У лівій частині вказані всі адреси – джерела загроз ІБ, в правій– докладний Rap Sheet.


В ньому можна побачити детальну інформацію про погрози.


А також те, на які локальні адреси були спрямовані ці атаки.


Статистику з'єднань.


І інформацію про шкідливий IP.


Якщо подивитися варіанти атак, то можна побачити наступне.

Web Application Exploit.


Botnet з безліччю загроз/дій.




Botnet з спробою зараження вірусом.


Worm з його описом.


Активна атака з спробою перебір пароля, з описом Credentials і використаного ПО.


Комбінована атака з великою кількістю атакуючих елементів для впровадження.



Активна атака – ботнет допомогою троянської програми.


Hijacked IP з поясненням — «Цей специфічний діапазон мережі був зламаний. Викрадений діапазон мережі є мережним блоком, повернутих з невикористовуваних мережевих блоків, часто це роблять спамери. Первинний власник блоку, можливо, залишив його блокованим з будь-якої причини. Для отримання додаткової інформації про ці типи діапазонів IP мережі, будь ласка, відвідайте....».


Фішинг.


Є можливість налаштування екрану блокування доступу користувачу, який звернувся в браузері до ресурсу, який внесений в «заборонений список» IP-адрес, пристрої IXIA ThreatARMOR, що формується кожні 5 хвилин з ряду світових баз даних списків заборонених IP-адрес (тобто скомпрометованих, вкрадених, що належать зламаним ресурсів, спамерських і т. д.).


Можливість RESTful API



з докладним описом кожного запиту і відповіді.


Є можливість формувати щотижневий звіт.


У результаті ми маємо додатковий рівень інформаційної безпеки, а також ряд переваг:

зниження витрат – зниження навантаження на файрволы і IPS, що призводить до непотрібності оновлення рівнів безпеки периметра;

економія часу – немає потреби оновлювати списки доступу при появі нових «поганих» IP;

зниження алертів SIEM – економія часу і коштів;

зниження атак на мережу – блокування відомих атак і блокування країн, з якими немає комунікацій.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.