1 / 41

IPS 領導品牌 TippingPoint 產品介紹與市場攻略

IPS 領導品牌 TippingPoint 產品介紹與市場攻略. Web Services DMZ. DNS. FTP. HTTP. SNMP. SMB. Telnet. 防火牆已經不能勝任今天的保安工作. Buffer Overflow. Illegal file sharing Peer to peer. BackOrifice-31337. DoS, SYN Flod. 系統的漏洞遭到入侵 微軟漏洞ㄧ大堆 , 要將所有電腦全面更新耗時耗工 重要的伺服器即使可以更新卻無法隨時 reboot MS IIS/SQL/Exchange 的漏洞也不少

lenka
Download Presentation

IPS 領導品牌 TippingPoint 產品介紹與市場攻略

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IPS領導品牌TippingPoint產品介紹與市場攻略

  2. Web Services DMZ DNS FTP HTTP SNMP SMB Telnet 防火牆已經不能勝任今天的保安工作 Buffer Overflow Illegal file sharing Peer to peer BackOrifice-31337 DoS, SYN Flod

  3. 系統的漏洞遭到入侵 • 微軟漏洞ㄧ大堆,要將所有電腦全面更新耗時耗工 • 重要的伺服器即使可以更新卻無法隨時reboot • MS IIS/SQL/Exchange的漏洞也不少 • Oracle/Linux的漏洞 • IM/P2P的濫用 • 侵占頻寬,導致重要的服務不通 • 蠕蟲/木馬/惡意程式進入企業的管道 • 防火牆無法阻止重要資料的外洩 • 非法下載MP3/Vedio侵害版權 IM/P2P 的濫用 系統的漏洞 遭到入侵 IPS 入侵防禦系統 DoS/DDos 阻斷服務 • DoS/DDoS阻斷服務 • Web/DNS伺服器遭到來自外部的阻斷服務攻擊 • DB/AP伺服器遭到來自內部的阻斷服務攻擊 • 侵占WAN的頻寬 • 導致Router/Firewall/Switch當機癱瘓 • 間諜程式充斥於內部網路 • 間諜程式導致電腦效能變差,網路變慢 • 間諜程式竊取資料 • 許多網路的瀏覽行為就會讓間諜程式輕易進駐防不慎防 間諜程式 充斥於內部網路 IT部門每天煩得要死的事情

  4. 主動式入侵防禦技術(IPS)的世代已經來臨

  5. Tipping Point在最近一次 Infonetic 的市占率調查上,遠遠超越Cisco, Juniper, ISS, McAfee等其他競爭公司,繼續保持全世界Market Share #1 的領導者地位(大約 33%) .  TippingPoint在IPS市場的佔有率世界第一 u TippingPoint Source: Infonetics Research Network Intrusion Prevention Market Outlook May 17, 2006

  6. TippingPoint擁有廣大的客群,受獎無數 Korea Telecom Awards

  7. TippingPoint產品安全認證

  8. TippingPoint在市場得獎無數 NSS Gold AwardThe TippingPoint Intrusion Prevention System is the first and only product to win the coveted NSS Gold Award in the IPS space. The NSS Group testing was the first comprehensive side-by-side comparison of leading Intrusion Prevention System vendors - TippingPoint, ISS, Network Associates, Netscreen and TopLayer. The full report is available at http://www.nss.co.uk/.Click here to read TippingPoint's NSS Gold Award Summary. ICSA Labs Network IPS CertificationThe TippingPoint Intrusion Prevention System has been certified by ICSA Labs as the first multi-gigabit network IPS. As one of only three products to be certified in the Network IPS category, TippingPoint was the only product with a certified rated throughput at multi-gigabit speeds with a maximum average one-way latency of 84 microseconds. Information Security Magazine's 2007 Reader's Choice AwardsThe TippingPoint Intrusion Prevention System has received a Gold in Information Security Magazine's and SearchSecurity.com's "Readers' Choice Awards" in the Intrusion Detection/Prevention category. Frost & Sullivan 2007 Global Market Penetration Leadership AwardTippingPoint has been awarded the 2007 Global Market Penetration Leadership Award from Frost & Sullivan for exhibiting market share leadership through the implementation of market strategy. SC Magazine 2007 AwardsThe TippingPoint 5000E is a finalist in the 2007 SC Magazine Awards for Best Intrusion Detection/Prevention Solution. University Business Magazine "Show Stopper" Award The Tolly Group "Up To Spec"Performance and security benchmark. TippingPoint's IPS demonstrated 100% security accuracy at 2 Gbps.

  9. ICSA 認證

  10. NSS Gold 認證

  11. TippingPoint IPS擁有最佳效能與最完整防禦功能

  12. TippingPoint--真正採用硬體架構的IPS • 在Gigabit的環境中僅有微秒的延遲(Latency under Microsecond) • 其他競爭對手宣稱擁有Gigabit 的效能但是Latency 卻高達數秒甚至數十秒之多 • TippingPoint擁有整套自行開發的 Xilinx Vertex 4 FPGA (Layer 7)及 Layer 4 (ASIC) 模組 • IP de-fragmentation/TCP flow reassembly • L4-L7攻擊行為分析與統計 • 網路流量限速以及惡意封包阻擋 • 超過170種的應用層網路通訊協定分析

  13. TippingPoint IPS具有完整的保護能力 • 阻絕: • Worms/Walk-in Worm • Viruses • Trojans • DDoS Attacks • Internal Attacks • Unauthorized Access • Spyware • 保護: • 微軟漏洞零時差防護 • Oracle入侵保護 • SQL Injection阻擋 • Linux漏洞防護 • VoIP保護 • Phishing網路釣魚 • 間諜程式Spyware • 阻絕: • Worms/Walk-in Worms • Viruses • Trojans • DDoS Attacks • SYN Floods • Traffic Anomalies • 保護: • Routers (e.g. Cisco IOS)入侵保護 • Firewalls癱瘓保護 • 各種DoS/DDoS攻擊 • UDP/ICMP Flood • 管理: • Peer-to-Peer Apps • Unauthorized Instant Messaging • Unauthorized Applications • DDoS Attacks • 保護: • Bandwidth • Server Capacity • Missions-Critical Traffic • High Performance Custom Hardware • Highly Advanced Prevention Filters • Constant Update Protection Service • 5 Gbps Throughput • Switch-Like Latency • 2M Sessions • 250K Sessions/Second • Total Flow Inspection • 64K Rate Shaping Queues • 10K Parallel Filters

  14. 何謂零時差攻擊

  15. 什麼是漏洞?什麼是零時差攻擊? TippingPoint的客戶已經被妥善保護 TippingPoint 數位疫苗下載 攻擊手法 被設計出來 採用病毒比對保護方式的產品依據病毒碼更新資料庫 根據攻擊手法被撰寫的 惡意病毒/蠕蟲出現 程式更新 Patch完成 漏洞被發現 程式更新Patch必須被完成並下載的黃金時間 在含有漏洞的程式完成更新Patch並下載給客戶前,如果惡意病毒/蠕蟲/木馬已經出現,而且開始感染電腦與網路,這樣的情況稱作零時差攻擊 什麼是漏洞? --與作業系統或是電腦程式因為撰寫不慎而留下的缺點 --有心人士可以利用這些缺點撰寫惡意程式去侵占電腦的主控權,獲得利益 --漏洞是資安的大問題,攻擊的方便之門

  16. 2007-01-01以來的漏洞統計 你的重要伺服器可以隨時重開機嗎? • Microsoft • 1月重大(3), 重要(1) • Microsoft Excel 中的弱點可能會允許遠端執行程式碼(927198) • Microsoft Outlook 中的弱點可能會允許遠端執行程式碼(925938) • 向量標記語言中的弱點可能會允許遠端執行程式碼(929969) • 2月重大(6), 重要(6) • HTML Help ActiveX 控制項中的弱點可能會允許遠端執行程式碼(928843) • Microsoft Data Access Components 中的弱點可能會允許遠端執行程式碼(927779) • Microsoft Malware Protection Engine 中的弱點可能會允許遠端執行程式碼(932135) • Microsoft Word 中的弱點可能會允許遠端執行程式碼(929434) • Microsoft Office 的弱點可能會允許遠端執行程式碼(932554) • Internet Explorer 積存安全性更新(928090) • 4月重大(5), 重要(1) • ……..

  17. 2007-01-01以來的漏洞統計 continue • TWCERT 2007年4月份發佈了23個安全通報

  18. 2007-01-01以來的漏洞統計 continue • TWCERT 的安全公告到四月底為止共發佈了48則 • 作業系統 • Windows(6) • Red Hat(16) • Apple MAC OS(2) • Sun Solaris(2) • FreeBSD(2) • 網路設備 • CISCO(14) • 應用程式 • Kerberos(2) • Sourcefire Snort(1) • Oracle(1) • Apple QuickTime(2)

  19. 漏洞與零時差攻擊每天都在發生 漏洞就在眼前, 但修補程式尚未公佈 該如何面對?

  20. 對於零時差攻擊的防護

  21. 零時差攻擊案例-漏洞 Windows DNS Server 上的 RPC 的弱點可能會允許遠端執行程式碼 • 影響版本 • Microsoft Windows 2000 Server Service Pack 4 • Microsoft Windows Server 2003 Service Pack 1 • Microsoft Windows Server 2003 Service Pack 2 • 微軟於4月 12日公佈了 Windows名稱領域服務 (DNS)所使用的管理介面存在 Remote Procedure Call(遠端程序呼叫 )緩衝區溢位弱點,此弱點可使遠端攻擊者以系統管理權限來執行任意程式。 4月 18日知名駭客網站 xxxx已開放下載此漏洞的攻擊程式碼,微軟於4月 19日三度更新有關此漏洞問題安全性摘要報告並公佈了暫時修正方式,5 月8 日才正式修補此漏洞。

  22. 零時差攻擊案例-防護 • TippingPoint於4月 13日釋出數位疫苗版本 7259,其中包含此漏洞的防護能力 • 5290: MS-RPC: Microsoft DNS Server Service Fragmented Request • 5291: MS-RPC: Microsoft DNS Service Buffer Overflow • 5292: MS-RPC: Microsoft DNS Service Buffer Overflow • 5293: MS-RPC: Microsoft DNS Service Request • 以上過濾器預設在建議設定值中啟用以保護此漏洞,另外也提供一個政策過濾器 (5293)預防任何來自 Internet 上機器想要連結 DNS主機上 RPC服務 .已知有攻擊程式利用傳送特殊封包 TCP Port >1023 及 TCP Port 139及 445利用此漏洞攻擊此漏洞。

  23. 零時差攻擊案例-漏洞 • Windows 動畫游標處理中的弱點 • GDI 中的弱點可能會允許遠端執行程式碼(925902) • 影響版本 • Microsoft Windows 2000 Server Service Pack 4 • Microsoft Windows XP Service Pack 2 • Microsoft Windows Server 2003 Service Pack 2 • Microsoft Windows Vista • 微軟於4月3日公佈了發現利用Microsoft Windows 處理動畫游標(.ani) 檔案的方式之弱點所進行的攻擊。攻擊者若要發動此攻擊,使用者必須造訪包含用以利用弱點網頁的網站,或檢視蓄意製作的電子郵件訊息或攻擊者傳送的電子郵件附件,微軟於4月 3日首度針對此漏洞發佈了修補程式。 根據CERT的報告 此漏洞在2006-11-06 就已經成為公開資料 發佈在CERT網站 CVE-2006-5758 4月初多家國內知名企業與政府機關網站遭駭客植入惡意程式,這些惡意程式更利用微軟.ANI零時差漏洞的問題,將木馬及間諜程式等惡意程式植入到瀏覽受植入惡意程式網頁的使用者 將惡意程式植入正常網站,等待使用者自行落網將是未來網路釣魚犯罪的主流

  24. 零時差攻擊案例-防護 • TippingPoint早於2004年釋出的數位疫苗版本,其中就已經包含此漏洞的防護能力 • 3210: HTTP: Windows LoadImage API Buffer Overflow .ANI file TippingPoint對目前微軟的零時差攻擊在2年前即做好防護 某客戶端的實際攔截記錄

  25. 微軟漏洞修補時效(2006.6.13) 數位疫苗版本#6306與發佈時間2006/6/13 微軟漏洞公佈時間2006/6/13 數位疫苗內含多條Filter分別對不同的微軟漏洞作出防護

  26. 為什麼TippingPoint可以真正做到零時差攻擊保護針對漏洞的分析,而不是針對一大堆變種病毒為什麼TippingPoint可以真正做到零時差攻擊保護針對漏洞的分析,而不是針對一大堆變種病毒 進行漏洞分析 與全球所有知名資安組織的緊密結合 生成保護疫苗並下載 TippingPoint的全球ZDI計畫 --與全球資安組織緊密結合(ex: TW CERT), 鼓勵所有使用者一起找碴 發現任何漏洞將給予高額獎金 --要做好資安必須是一個持續性的資本投入 與專注 • SANS • CERT • Vendor Advisories • Bugtraq • VulnWatch • PacketStorm • Securiteam @RISK Weekly Report TippingPoint DV小組為全球知名的SANS Institute撰寫@Risk週報

  27. TippingPoint特徵值更新速度

  28. DV數位疫苗最新三次更新時間

  29. 微軟漏洞修補時效

  30. 微軟07年10月更新項目

  31. TippingPoint針對微軟漏洞修補時效

  32. TippingPoint 現有產品線

  33. IPS應該具備的四種過濾方式 伺服器OS與軟體漏洞保護 網路設備的保護 網路傳輸效能的保障 Signature Protocol Anomaly Vulnerability Traffic Anomaly Signature --針對已知問題的保護 入侵防禦 核心技術 Protocol Anomaly --各種Protocol必須符合RFC規範 Vulnerability --要即時了解各種漏洞並防禦 Traffic Anomaly --異常流量的即時偵測與控制 過濾方式

  34. 企業環境內部與外部流量兼具的保護 架設於防火牆之前Router之後 TippingPoint DV Service 建議放在防火牆前面來保護防火牆, 防火牆遇到 L4-L7 的攻擊或入侵 (如 port 80) 時無任何防禦能力, 攻擊在超過一定的連線數以上時, 防火牆將自動讓流量透通或甚至當機

  35. TippingPoint 現有產品線 10 Gbps Core Controller 8 Gbps * 4 IPS * Fiber

  36. 不只是IPS,還是功能強大的端點異常行為的管理系統不只是IPS,還是功能強大的端點異常行為的管理系統

  37. 來自內部網路的問題最難以處理 FW/VPN IPS Secure Vulnerable Perimeter Internal LAN Segment Enterprise Network Internet Wi-Fi LAN Segment Remote Branch X Attacks enter from LAN endpoints Attacks Blocked

  38. 使用者開啟對網路的連線 惡意的封包將會被IPS攔阻 除了攔阻之外,IPS也可以定義各種Action處理手段 IPS會送一個預先定義好的告警網頁至使用者的電腦 有問題電腦後續所發出的封包將被IPS隔離(有限的連線能力) 隔離功能(Quarantine)佈建#1: IPS Only Worms Trojans Viruses Spyware DDoS Remediation Page 5500 Switch Internet Core TippingPoint IPS 8800 Switch 8800 Switch 1200 Switch WLANs Catalyst 6500

  39. 使用者透過TippingPoint Security Management System (SMS)做認證 SMS如同 Radius proxy, 透過RADA學習到MAC/Switch/Port的資料 惡意的封包將會被IPS攔阻 IPS會將Event data送到SMS SMS可以設定threshold值作為啟動隔離功能的依據 SMS反解IP為MAC 隔離功能(Quarantine)佈建#2: IPS + SMS TippingPoint SMS Radius 5500 Switch Internet Core TippingPoint IPS 8800 Switch 8800 Switch 1200 Switch WLANs Catalyst 6500 • 有問題的MAC Address將被放到blacklist並依據事先定義的policy set處理 • SMS要求compromised device針對有問題的電腦重新做連線認證(re-authentication) • Compromised Device可以作處置動作--例如:將連接的實體Port關閉,禁止有問題的電腦連上網路

  40. TippingPoint以IPS做為NAC骨幹

  41. TippingPoint與您共創獲利雙贏Thank You

More Related