シンプルワードのHP TippingPointとは

多くの場合、複雑なITセキュリティ製品を提示するという事実に遭遇しますが、多くの人はそれがどのように始まったのか、どのように開発されたのかなど覚えていません。 このレビューでは、すべてのプロセスに独自のロジックがあること、リアクティブITセキュリティモデルがプロアクティブモデルに負けていることなどを思い出したいと思います。



TippingPointは、独立したドメインとして、またHPのクラウドテクノロジーの一部として、単独で生活できることをすぐに言わなければなりません。

事後対応型のITセキュリティモデル：ウイルス対策とファイアウォールをインストールしました。

市場の発展を見ると、市場はほとんど常に脆弱性に直接「依存」していることがわかります。 これらのバグの歴史を見てみましょう。



2002年は主にワームとウイルスです。 アンチウイルスはこれに対処しました。



2004-2007-ソーシャルネットワークの出現に関連して、ソーシャルエンジニアリングに関連する脆弱性が発生しました。 あらゆる種類のフィッシング。 ウイルスのように、額に浸透しません。 より多くの回避策が使用され、より洗練されています。 スパイバー、統計など



2010年以降、ハッカーは一般的な情報ではなく、特定の情報に切り替えました。これらはアプリケーションのエクスプロイトです。 このため、ハッカーが理想的なブレークポイントとして選択したため、Adobe Flash Playerプラグインを放棄し始めました。

現在の攻撃の対象は特定の人々ではなく、Web（クラウド）、企業に対する攻撃です。 誰かの会社のハックを注文できる闇市場があることは誰もが知っています。もちろん、それは顧客の物質的な注入に依存します。

管理者は言う：私はファイアウォールを持っています！

はい、ありますが、実際には、悪意のあるコードは通常とは異なるパスをたどらず、通常のHTTPトラフィックをたどります。 コードはポート80を経由します。ポート80は常に開いています。これは、会社がインターネットの必要性に関係なく、ファイアウォールを保護しないためです。



アンチウイルスは反応的な防御です。 既知のハッキングや攻撃から保護します。 アンチウイルスでさえ解析するようなソフトウェアがあることを示す表を次に示します。

センセーショナルな脆弱性

最も有名なものを取る。 RSAは、証明書を発行する会社です。 ルート証明書を解読して独自の証明書を生成するだけで十分であり、RSAが証明書を提供したすべての企業で受け入れられます。 さらに、ハッキングの実行方法-これは通常の「正面からの攻撃」ではなく、ソーシャルエンジニアリングでした。 ファイルが届き、スパムに感染しましたが、何らかの理由で従業員の1人がそこに何があるかを確認することにしました（手を引き裂いてください！）そして、このファイルを開きました。 それは機能し、アンチウイルスには知られず、悪用され、会社は感染しました。 画像は言うまでもなく、これが会社のビジネスにどのように影響したかは明らかです。 これにより、会社はトークンを変更することになりました。

免責事項

一般に、慎重に選択したソフトウェアには脆弱性があります。 神ではなく人々がプログラムを書くからです。 すでにソフトウェアは非常に多くのことを書いているので、穴を見つけることは事実上問題ではありません。

NETWORK Intrusion Prevention Systemとは何ですか？

攻撃防止システム-ファイアウォールの通過を許可する攻撃を検出およびブロックするためのハードウェアおよびソフトウェアシステム。 最新のIPSは、攻撃をブロックするだけでなく、ネットワーク接続とプロトコルも制御します。 IPSソフトウェアバージョンは、仮想化（およびクラウドサービス）を保護するために使用されます。



通常のアンチウイルスはどのように機能しますか？シグネチャを検索します。 そして、発見、彼は言う-これはウイルスです。 IPSはエクスプロイトを探していますが、ハッキングの結果（遅すぎる）ではなく、疑わしいアクティビティを探しています。 そして一般的に脆弱性を調べます。 脆弱性も同じではないため、クラッカーによってさまざまな方法で使用されます。 意味：ある種のN脆弱性があり、1つのウイルスがこの脆弱性の50％を使用できます-この部分が見つかり、「ホール」の一部にパッチが適用されましたが、他のウイルスは完全にパッチされていない「ホール」の別の50％などを使用します。 IPS-すべての脆弱性をすぐに確認します。



すべてのトラフィックを常に通過させ、フィルターのように動作します-汚れ、純粋なトラフィックが出ます。 ネットワークインフラストラクチャでは、仮想ケーブルのように見えます。 管理が非常に簡単です。



ウイルス自体は追跡しません（もちろん、感染したexeファイルを追跡できます）が、ハッキングの試み（ポートスキャン、ネットワーク異常、サイトが爆撃されたときのサービス）を追跡します。



インターネットのフィルタリングに加えて、彼は会社内のトラフィックを調べることができます-会社のネットワーク内で「いたずらな」人を見つけることができます。 法的には、多くの問題もカバーしています。たとえば、Visaはその基準を順守する必要があります。 IPSをインストールすると、これらの標準の要件が自動的に閉じられます。



IPSが必要な理由

-エンタープライズ管理

•ネットワーク問題のタイムリーな検出



-投資家へ

•攻撃の影響を排除するコストを削減する

•インシデント調査コストの削減

•TCO、CapEx、およびOpExの削減



-内部監査またはリスク管理

•リスク低減



-ITセキュリティ

•企業のさまざまなサービスおよびリソースに対する攻撃の検出および反映

•ネットワークプロトコル制御



-ITスペシャリスト

•内部および外部のインターネットリソースの高可用性とフォールトトレランスの確保

•帯域幅管理

インストールのしやすさ

TPのインストールの容易さについて管理者に尋ねました。 サイトにアクセスして、Googleストアのように、必要なものを選択できます。たとえば、「2014年3月で最も人気のあるハック」-すべての脆弱性をすぐに閉じます。 または、サーバー、サイトなど、保護するものを選択します。

TippingPointの起源

最初は別の製品でした。 それが3Comに買収され、 HPが3Comを買収したとき、製品はさらに開発されました。 彼は現在ガートナーの象限に入っています。

脆弱性は均質ではありません

すでに書いたように、ハッカーの観点からすると、ホール全体ではなくその一部のみを使用する方が「より有益」です。 脆弱性があります。exeファイル、バッチファイル、またはその他の何かが書かれています。 これは、脆弱性全体が使用されることを意味するのではなく、その一部のみが使用されることを意味します。 アンチウイルスは、悪用に精通している場合、既知の（部分）脆弱性+誤検知から保護します。 新しいエクスプロイトは、同じ脆弱性の別の部分を使用する可能性があります-アンチウイルスはそれに気付くことさえありません。 TippingPointは、エクスプロイトではなく脆弱性を修復します。 継続的なトラフィック監視を通じて。 彼はそのようなおよびそのような活動（攻撃）がそのようなおよびそのような脆弱性であり、すべての脆弱性を閉じるが、その部分ではないことを確認します。



TPが主導権を握った重要な要因の1つは、ゼロデイイニシアチブです。 コードを絶えず監視する多くの研究者がいます。 ある時点で、TPは脆弱性を発見した人にハッカーに支払いを始めました。 たとえば、ハッカーが何らかの脆弱性を発見した場合、FBIがそれを購入した場合や他の誰かが悪い場合、この「ホール」を販売するためにこれを利用することはできません。 TPはハッカーに「言います」-あなたは私にあなたの脆弱性を流出させます-私はあなたに5,000ドルを与えます。 常にこれを行う場合、脆弱性に対して10,000ドルを支払います。 そして、もしあなたが私の特別なパートナーであるなら、それぞれ30,000人です。ここで、ハッカーはすぐに報酬を受け取ります-彼は何も売る/危険にする必要はありません。 その後、ハッカーからの脆弱性の実験室研究者になることは彼にとって有益です。







Hacker MagazineがZDIレビューをリリース



www.xakep.ru/post/54743/default.asp

ブロンズ：

+来年のすべてのバグに対する10％の現金報酬

1000ドルのボーナス



シルバー：

+来年のすべてのバグに対する15％の現金報酬

+来年の見返りポイントに25％

5000ボーナス

ラスベガスのDEFCONでの有料チケット（フライト+チェックイン）



ゴールデン：

+来年のすべてのバグに対する20％の現金報酬

+来年発生した報酬ポイントに50％

$ 10,000ボーナス

ラスベガスのBlackHatおよびDEFCONの有料チケット（フライト+チェックイン）



プラチナ：

+来年のすべてのバグに対する25％の現金報酬

+来年発生した報酬ポイントに対して100％

20,000米ドルのボーナス

ラスベガスのBlackHatおよびDEFCONの有料チケット（フライト+登録）+ BlackHatコースの登録







ZDIは、マイクロソフトが最も脆弱性を見つけるのに役立ちます

最先端のセキュリティ研究-DVLabsマイクロソフトセキュリティ情報











ZDIが脆弱性を見つけるという事実により、ZDIはいわゆる 仮想パッチ。 彼はこの脆弱性に関する情報をデバイスに送信しますが、クラッカーにとっては、システムはこの脆弱性がこのシステムに存在しないように見えます。 つまり マイクロソフトがエラーを修正するパッチを作成する間、脆弱性を閉じます。











どのように機能しますか？ パッケージをダウンロードする必要があります。 結局のところ、鉄自体は役に立たないので、定期的にTPデータベースにアクセスし、保護するすべてのエクスプロイトをダウンロードする必要があります。 これはいわゆる デジタルワクチン。 さらに、会社のネットワークで行われたすべてのことが調査されます：IP、疑わしいサイトなどが追跡されます。レピュテーションデータベースがコンパイルされ、4時間ごとに更新されます（内部ネットワークだけでなく、インターネット全般に関するデータ）。 TP WebサイトにアクセスしてIPをドライブできるようになるまで、保護されている度合いが表示されます。







これはDNS Northに似ています。 最も危険なトラフィックがどこにあるかを示します。 IPスパム、攻撃などがどのネットワークを通過するかを知ることもできますし、ネットワーク内では、デバイス自体もそのようなレピュテーションデータベースを作成できます。







外部では、デバイスはスイッチのように見えます







NXシリーズの仕様



これは仮想ケーブルであるため、電源をオフにしても、トラフィックは引き続き通過します。



それについて何がユニークですか？ ハードウェアがトラフィックフィルタリングを高速化するチップを備えています（FOPとも呼ばれます）。 Trickは独自のチップを作成したため、トラフィックをすばやく監視できます。 たとえば、トラフィックが1GBに入った場合、通過させるだけでなく、調査、エクスプロイトの存在の確認などを行う必要があります。したがって、チップは2倍機能するはずです。







1つのデバイスで複数のネットワークを一度に監視できます。







広範囲のTP統合 。 たとえば、ArcSightを使用すると、TPはArcSightのセンサーとして機能することができます-彼は管理者にハッキングされたことを伝え（管理者はハッキングについて知らないかもしれません）、リークを止めたい場合は、これを行います-このスイッチを引いて、このコードを引いてください つまり ハッキングされたという報告だけでなく、保護され、IPがブラックリストに登録され、IP番号がファイアウォールに報告されます。 隔離されたWLAN（どこにも通じないネットワーク）があります-ウイルスがそこに自分自身を発生させます-彼らは誰も気にしません。



結論：

•TPは、ウイルス、つまりハッキングから保護しません。

•高精度-誤検知の最小数

•アーキテクチャによる高可用性

•エネルギー消費量を最小限に抑えた高速-このために研ぎ澄まされた独自のチップ

•インストールと設定が簡単。 このテクノロジーの管理者トレーニング-最大3日間。

•仮想マシンとの統合。 クラウドとは-ハッキング可能なWebサイトです。つまり、独自のIPSが必要です。



ウクライナではどこに実装されていますか：

-テレコム

-銀行セクター



はい、もちろん、このソリューションでは、ハードウェア自体は安価ですが、アップデートは安くはありません。 しかし、ウクライナでは、まだセキュリティについてあまり心配していません。 彼らは言う-「はい、彼らは壊れますか？！ あなたは何ですか？ 映画のように！？」 多くは、会社の規模とそれが機能するデータの性質に依存します-大企業はすでに保護されています。 残り-彼らが考える間。 私たちはネットワークセキュリティに関する教育を開発していないと言わなければなりません。 「雷が打つまで」誰もが待っています。 このニッチはまだ十分に理解されていませんが、インターネットはますます発展しているという事実にもかかわらず、この市場も発展します。

---

---

MUK-Service-あらゆる種類のIT修理：保証、非保証修理、スペアパーツの販売、契約サービス