Решения Imperva для защиты веб приложений и …...Защита...
Transcript of Решения Imperva для защиты веб приложений и …...Защита...
© 2013 Imperva, Inc. All rights reserved.
Решения Imperva для защиты
веб-приложений и СУБД
Шахлевич Александр
RSD Russia
© 2013 Imperva, Inc. All rights reserved.
Представители в России и СНГ
© 2013 Imperva, Inc. All rights reserved.
Немного маркетинга
© 2013 Imperva, Inc. All rights reserved.
“Есть два типа организаций: одни,
которые допускают возможность
утечки данных, и те, кто об этом просто
не знают.”
Shawn Henry, Former FBI Executive Assistant Director (NY Times, April 2012)
© 2013 Imperva, Inc. All rights reserved.
Жертвы, 38% - крупные корпорации, из них:
• 37% - финансовые организации
• 24% - ритейл
• 20% - ТЭК, промышленный сектор
Преступники:
• 92% - внешние пользователи
• 14% - злоумышленные инсайдеры (нарастающая угроза)
Причины утечек:
• 52% - разновидности веб-хакинга
• 76% - кража учетных данных
• 13% - результат завышенных прав пользователей
Интересные особенности:
• 78% - атак низкой сложности
• 54% - скомпрометирован веб-сервер
• 66% - инцидентов выявлено внешними сторонами
• 66% - потрачены месяц и более на выявление атаки
Verizon Data Breach Investigations Report 2013
© 2013 Imperva, Inc. All rights reserved.
Направленные атаки
Направленные, эффективные, незамеченные
12-Sept-12 -
14-Sept-12
Получение полного
доступа к
информации –
утечка\модификация,
уничтожение
27-Aug-12
Разведка и
получение
информации об
инфраструктуре,
бизнес-процессах
13-Aug-12
Кража учетных
данных через
фишинговые
атаки и зловреды
29-Aug-12 -
11-Sept-12
Повышение
привлегий, кража
административных
учетных данных
Records lost: 4M
Population: 5M = 80%
© 2013 Imperva, Inc. All rights reserved.
Угроза инсайда
Доверенный пользователь, имеющий
легитимный доступ и совершающий утечку
интелектуальной собственности компании
или другой бизнес-критичной информации.
Зачем он это делает:
• Намеренно
• Случайно
• Скомпрометирован
Insider Threat Defined!
© 2013 Imperva, Inc. All rights reserved.
Взгляд изнутри
Взлом почты
Взлом скайпа
Взлом соцсетей
© 2013 Imperva, Inc. All rights reserved.
Вектора атак
Интеллектуальная
собственность,
конкурентные
преимущества
Персональные данные,
финансовая
информация
© 2013 Imperva, Inc. All rights reserved.
Find the R.A.T.!! (Remote Access Trojan)
Защитите то, что действительно ценно!
© 2013 Imperva, Inc. All rights reserved.
Internal Employees
Malicious Insiders Compromised Insiders
Data Center Systems and Admins
Auditing and
Reporting Attack
Protection
Usage
Audit
User Rights
Management
Access
Control
Tech. Attack
Protection
Logic Attack
Protection
Fraud
Prevention
External Customers
Staff, Partners Hackers
User Rights Management
Assessment & Risk Management
Комплексный портфель решений
Imperva’s Mission is to Provide a Complete Solution
© 2013 Imperva, Inc. All rights reserved.
Комплексное решение для
защиты данных
Простота развертывания и
администрирования
Соответствие стандартам
информационной безопасности,
в том числе ФСТЭК №17, 21
Собственный
исследовательский центр
Повышение эффективности
Imperva SecureSphere
© 2013 Imperva, Inc. All rights reserved.
Архитектура решения
SecureSphere for SharePoint
File Activity Monitoring
Management Server (MX)
Database Activity
Monitoring
Web Application
Firewall
INTERNET
Imperva Agent
Imperva Agent
Network Monitoring
Network Monitoring
Native Audit
Internal Users
© 2013 Imperva, Inc. All rights reserved.
Позиционирование на рынке
© 2013 Imperva, Inc. All rights reserved.
Аудит
использования
Контроль
доступа
Управление
правами
Защита от атак
Репутационный
анализ
Virtual
Patching
Комплексный портфель решений
© 2013 Imperva, Inc. All rights reserved.
Network Security Players
WAF (EOL 2010)
WAF (Tier 3)
WAF & DAM (Tier 3)
DAM (EOL 2009)
WAF (Tier 3)
Конкурентное окружение
Confidential 16
© 2013 Imperva, Inc. All rights reserved.
Защита Веб-приложений
Понимание логики приложений:
URL’ы, поля, cookies, JavaScript
«Виртуальный патчинг» веб-сайтов
Анализ репутации пользователей
Сигнатурная защита от атак
Защита периметра
Сигнатуры для определения приложений
Контроль доступа пользователей
Только Imperva действительно защищает
уязвимые приложения!
P
P
P
P
P
P P
P
P
Две проблемы.. Два решения!
© 2013 Imperva, Inc. All rights reserved.
WAF
• Виртуальный патчинг
• Защита от атак (SQL code injection, XSS, directory traversal, RFI)
• Защита от атак на бизнес-логику (i.e. site scraping and comment spam)
• Защита от фрода
• Аудит использования
• MS SharePoint Protection
• Legacy Application Protection
• PCI 6.6
• Защита от утечек данных
DAM
• Виртуальный патчинг СУБД
• Аудит привелегированного доступа
• Управление правами
• Ограничение доступа
• Data Across Borders Protection
• Защита от утечек
• Поиск и классификация
• Аудит доступа к конфиденциальной информации
• Защита данных VIP-клиентов
FAM
• Управление правами
• Контроль доступа
• Поиск собственников
• Аудит доступа к конфиденциальной информации
• Перераспределение прав пользователей
• Защита данных VIP
• Поиск и классификация
Полноценная защита Web, Database, File и SharePoint
Примеры использования
Как Imperva поможет защитить данные?
© 2013 Imperva, Inc. All rights reserved.
Imperva дополняет имеющуюся инфраструктуру
Confidential 19
Специализированные решения для SAP, OEBS,
PeopleSoft, SharePoint
Интеграция со сторонними производителями:
• Vulnerability Scanning
• SIEM
• DLP
• Fraud Management
• Endpoint Protection
• Cloud
© 2013 Imperva, Inc. All rights reserved.
Технология Virtual Patching и интеграция со сканерами уязвимостей
SecureSphere может импортировать
результаты сканирования для мгновенного
создания политик безопасности
Дает время для устранения уязвимостей или
обновления ПО
Customer Site
Scanner finds vulnerabilities
SecureSphere imports scan results
Web applications are protected
© 2013 Imperva, Inc. All rights reserved.
Быстрая и эффективная защита веб-приложений
116 дней: среднее время до выхода исправления1
Политики SecureSphere’s и технология virtual patching
сокращает эти сроки со 116 дней до 0-5 дней
SecureSphere может закрывать даже ненайденные
сканерами уязвимостей бреши
Vulnerability found
Code fix developed and tested
System protected
Vulnerability found
Virtual Patch
System protected
1 WhiteHat Website Security Statistics Report, Winter 2011
© 2013 Imperva, Inc. All rights reserved.
Интеграция с SIEM
Глубокий анализ событий информационной
безопасности
• Correlate security events across systems and networks, and
pinpoint critical security issues
• Satisfy key compliance requirements
• Aggregate alerts from different security devices to help streamline
forensics investigations.
• Get better visibility needed for effective troubleshooting and
improved MTTR (Mean Time to Resolution)
© 2013 Imperva, Inc. All rights reserved.
Интеграция с DLP
© 2013 Imperva, Inc. All rights reserved.
Web Application Firewall
24 Confidential
© 2013 Imperva, Inc. All rights reserved.
ТОП-10 угроз OWASP, 2013
1) Injection
• Защита от SQL, LDAP, Xpath и OS injection
2) Broken Authentication and Session Management
• Защита и контроль процесса аутентификации и пользовательских сессий
3) Cross-Site Scripting (XSS)
• Сигнатурные и поведенческие механизмы защиты
4) Insecure Direct Object References
5) Security Misconfiguration
6) Sensitive Data Exposure
• Контроль возвращаемой информации
7) Missing Function Level Access Control
8) Cross-Site Request Forgery (CSRF)
• Корреляционные политики безопасности
9) Using Components with Known Vulnerabilities
• Технология Virtual Patching
10) Unvalidated Redirects and Forwards
© 2013 Imperva, Inc. All rights reserved.
Основные отличия Imperva WAF
© 2013 Imperva, Inc. All rights reserved.
Dynamic Profiling
Attack Signatures
HTTP Protocol Validation
Cookie Protection
Web Fraud Detection Fraud Prevention
Technical Attack Protection
Business Logic Attack Protection
Co
rre
late
d A
tta
ck
Va
lid
ati
on
IP Geolocation
IP Reputation
Anti-Scraping Policies
Bot Mitigation Policies
Комплексная безопасность требует обдуманной защиты приложений
© 2013 Imperva, Inc. All rights reserved.
Dynamic Profiling
Attack Signatures
HTTP Protocol Validation
Cookie Protection
Web Fraud Detection Fraud Prevention
Technical Attack Protection
Business Logic Attack Protection
IPS & NG Firewall Web Security Features
IP Geolocation
IP Reputation
Anti-Scraping Policies
Bot Mitigation Policies
Co
rre
lati
on
(W
eb
Pro
file
Co
rre
lati
on
)
Высокий уровень ложных срабатываний
из-за недостаточного понимания
структуры и логики приложения
Легкая добыча для хакеров из-за
уязвимостей самого приложения
© 2013 Imperva, Inc. All rights reserved.
Концепция WAF Testing Framework (WTF)
• Инструмент для определения реальной эффективности IPS\NGFW\WAF при защите от веб-атак
• Комбинация легитимного и вредоносного трафика
• Оценка двух параметров:
• Good traffic being blocked (False Positives)
• Bad traffic being overlooked (False Negatives)
• Дает наглядное представление о балансе между безопасностью и непрерывностью бизнеса
• Скачивание и тестирование – бесплатно!
© 2013 Imperva, Inc. All rights reserved.
DB Security
30 Confidential
© 2013 Imperva, Inc. All rights reserved.
Ключевой функционал
CONFIDENTIAL
Поиск и
классификация
Поиск
«чувствительной»
информации •Поиск в активных базах
•Поиск мошеннических БД
•Определение областей
мониторинга
SecureSphere DAS
Rogue
SSN
Credit Cards
PII
© 2013 Imperva, Inc. All rights reserved.
Ключевой функционал
CONFIDENTIAL
Активный аудит
Сбор и хранение
отчетности доступа к
БД •Соответствие
требованиям
регуляторов
•Проведение экспертизы
и анализа
Databases Users
SecureSphere
DAM
Audit Details Audit Policies
Контроль
привилегированного
доступа
Мониторинг
привилегированных
пользователей •Разделение полномочий
•Мониторинг всей
активности
•Возможность
блокировки
Database Agent
Appliance Privileged
User
Audit Policies
© 2013 Imperva, Inc. All rights reserved.
Ключевой функционал
CONFIDENTIAL
Аналитика
Детализированный
лог аудита,
наглядные,
интеррактивные
отчеты •Ускоряет
расследование
инцидентов
•Упрощает compliance
Блокировка
Мониторинг
активности •Предотвращение
неавторизованного
доступа
•Активная защита
информации
UPDATE orders set client ‘first
Unusual Activity
X P
Allow
Block
Network User,
DBAs, Sys Admin
X
© 2013 Imperva, Inc. All rights reserved.
Ключевой функционал
CONFIDENTIAL 34
Отчетность
Наглядный
интерфейс •Анализ угроз
•Упрощение
планирования ИБ
PCI, HIPAA, SOX…
Custom
Оповещение
Оповещение в
реальном
времени •Быстрое
определение
вектора атаки
•Предотвращение
утечек
SYSLOG
Dashboard
SIEM
© 2013 Imperva, Inc. All rights reserved.
Создание набора действий при срабатывании политики
ArcSight SIEM Action Set
Set As Followed Action
© 2013 Imperva, Inc. All rights reserved.
Сканирование уязвимостей БД и технология Virtual Patch, Scuba by Imperva
Свободно распространяемая
утилита для сканирования
уязвимостей и конфигураций
БД, включая информацию по
установленным обновлениям
Отчеты предоставляют
наглядную информацию по
актуальным угрозам.
Регулярное обновление ПО
Scuba гарантирует актуальность
встроенных в сканер проверок
- CONFIDENTIAL -
© 2013 Imperva, Inc. All rights reserved.
Scuba - Functionality
Scan databases – nearly 1,200 tests
• Vulnerabilities
• Configuration flaws
• Missing patches
5 reports
• Summary Report
• Assessment Report Summary
• Detailed Assessment Report with remediation
• Failed Tests Summary
• Informational Tests Summary
Supports: Oracle, Microsoft SQL, DB2 and Sybase, Informix and MySQL
CONFIDENTIAL 37
Database
Discovery
Data
Classification
Vulnerability
Assessments Virtual Patching
SecureSphere Discovery & Assessment Server Scuba
Vulnerability
Assessments
© 2013 Imperva, Inc. All rights reserved.
File Security
38 Confidential
© 2013 Imperva, Inc. All rights reserved.
• As data grows, so does the volume of user access rights
• Rights are also very dynamic • Employees, contractors, consultants, etc., join/leave the
organization, start/finish projects, change job roles, etc.
39
80%
20%
Unstructured (file data)
Structured (DB, Apps)
Substantial volume IDC: 2009 File-Based Storage Taxonomy, 11/09
Constant growth IDC: 11/09
0
20
40
60
80
1 2 3 4 5 6 7 8 9 10
Enterprise data volume
60%
Vo
lum
e
Time
Что хранится и как этим пользуются?
© 2013 Imperva, Inc. All rights reserved.
Unstructured
Файловые сервера с
конфиденциальной
информацией: бизнес
документация,
интеллектуальная
собственность, финансовые
отчѐтности и др.
Аудит: кто имеет
доступ, кто владелец,
кто пользовался?
Определение
избыточных прав и
мѐртвых аккаунтов.
Мониторинг доступа:
оповещение и/или
блокирование в случае
нелегитимной
активности.
Принципы защиты
© 2013 Imperva, Inc. All rights reserved.
File Activity Monitoring
• Аудит доступа, безопасность и целостность ваших
данных
• Оповещение в случае нелегитимной активности
File Firewall
• Весь функционал File Activity Monitoring, плюс…
• Возможность активной блокировки
User Rights Management for Files
• Сбор и пересмотр прав пользователей, определение
избыточных прав и мѐртвых аккаунтов
• Определение прав доступа для критичной
информации
Решение для защиты файловых серверов
© 2013 Imperva, Inc. All rights reserved.
File Activity Monitoring
File Firewall
Management Server (MX)
Users
File Servers and NAS Devices
File Servers and NAS Devices
Imperva SecureSphere
File Security Deployment Scenario
© 2013 Imperva, Inc. All rights reserved.
How it works
43
NAS
File Servers
Joe, IT
Jim, HR
• Crawl File Systems • Find name, type, owner, permissions…
• Apply Classification Policies • Owner, Org, Location
• Automatic content classification (2011)
File Firewall / File Activity Monitoring
X
Enforce Policies
Who What Action
Non
Finance
Update
Financials
Block
Any Read PII Audit
Audit Log
Who What When Action
Joe Read
CC.xls
1/1/2010
12:50
Block
Jim Read
PII.doc
1/1/2010
12:51
Audit
Build Data/Permission Map
Who Group What Class
Joe,
IT
Fin-CC Read
cc.xls
Financials
Jim,
HR
HR-Exec Read
PII.doc
PII
2 1 3
OK
© 2013 Imperva, Inc. All rights reserved.
Интеграция с продуктами Cisco
44 Confidential
© 2013 Imperva, Inc. All rights reserved.
Imperva и Cisco
Imperva SecureSphere WAF для устройств
Cisco Nexus 1010/1110, в продаже начиная
с мая 2013
© 2013 Imperva, Inc. All rights reserved.
SecureSphere Web Application Firewall Надежная, автоматизированная защита от сетевых угроз
Reputation Services Репутационный анализ в реальном времени для
блокирования автоматизированных атак и активности
бот-сетей.
Fraud Prevention Блокирование атак типа “Men in the browser“ и
мошеннической активности
Thre
atR
ad
ar
Линейка продуктов Imperva WAF
© 2013 Imperva, Inc. All rights reserved.
Рациональное внедрение WAF в инфраструктурах, построенных на Cisco
Поддержка ролевого доступа и реализация механизмов разделения полномочий
Оптимизация инвестиций и сокращение операционных расходов за счет консолидации нескольких сервисов на единой платформе
Дополнение стандартных функций высокой доступности, мониторинга и управления систем Nexus 1010/1110
Преимущества Imperva на Cisco Nexus 1010\1110
© 2013 Imperva, Inc. All rights reserved.
Imperva и платформа Cisco UCS
Cisco UCS blade servers and rack servers support
virtualized and non-virtualized applications to increase:
• Performance
• Energy Efficiency
• Flexibility
• Administrator productivity
Thousands of companies rely on Cisco UCS servers to
run their most critical applications
The SecureSphere product family is IVT-certified to run
on UCS blades (B-series) and rack mounts (C-series)
© 2013 Imperva, Inc. All rights reserved.
Cisco UCS 5108
Management Server (MX)
Users
Web
Servers
Imperva Web
Application Firewall
Imperva Application
Defense Center
Схема развертывания на Cisco UCS и Nexus
Cisco Nexus 1110
WAF DBF
Imperva Database
Firewall
DBs Web
Server
Virtual Web
Servers
Cisco UCS 5108
Virtual
Databases
Imperva Web Application Firewall
WAF
© 2013 Imperva, Inc. All rights reserved.
Планы по интеграции
SecureSphere Virtual Appliance on UCS
NVxx00 on Cisco Nexus 1100 series
• Support for
UCS
•NV1000 (100Mbps)
• IVT Certified
Support for UCS
• NV1000,
• NV2500 (500Mbps)
• NV4500 (1Gbps)
V10.5 V 7.5- 9.0 V10.0
NVxx00 Integration with Cisco vPath • NV1000 (100Mbps),
• NV2500 (500Mbps)
• NV4500 (1Gbps)
© 2013 Imperva, Inc. All rights reserved.
Интеграция Imperva и Cisco 1000V vPath
• Use vPath to define the route of Web traffic
• If SecureSphere instances are moved, vPath will route traffic to
the new SecureSphere instances
• Easily support transparent bridge, non-inline sniffer,
and fail open HA in virtual environments
• Support multi-hypervisor environments
• Estimated release date: Q1/2014