Решения Imperva для защиты веб приложений и …...Защита Веб-приложений Понимание логики приложений: URL’ы,

© 2013 Imperva, Inc. All rights reserved.

Решения Imperva для защиты

веб-приложений и СУБД

Шахлевич Александр

RSD Russia

[email protected]

mailto:[email protected]


Представители в России и СНГ


Немного маркетинга


“Есть два типа организаций: одни,

которые допускают возможность

утечки данных, и те, кто об этом просто

не знают.”

Shawn Henry, Former FBI Executive Assistant Director (NY Times, April 2012)

http://bits.blogs.nytimes.com/2012/04/24/nissan-is-latest-company-to-get-hacked/


Жертвы, 38% - крупные корпорации, из них:

• 37% - финансовые организации

• 24% - ритейл

• 20% - ТЭК, промышленный сектор

Преступники:

• 92% - внешние пользователи

• 14% - злоумышленные инсайдеры (нарастающая угроза)

Причины утечек:

• 52% - разновидности веб-хакинга

• 76% - кража учетных данных

• 13% - результат завышенных прав пользователей

Интересные особенности:

• 78% - атак низкой сложности

• 54% - скомпрометирован веб-сервер

• 66% - инцидентов выявлено внешними сторонами

• 66% - потрачены месяц и более на выявление атаки

Verizon Data Breach Investigations Report 2013


Направленные атаки

Направленные, эффективные, незамеченные

12-Sept-12 -

14-Sept-12

Получение полного

доступа к

информации –

утечка\модификация,

уничтожение

27-Aug-12

Разведка и

получение

информации об

инфраструктуре,

бизнес-процессах

13-Aug-12

Кража учетных

данных через

фишинговые

атаки и зловреды

29-Aug-12 -

11-Sept-12

Повышение

привлегий, кража

административных

учетных данных

Records lost: 4M

Population: 5M = 80%


Угроза инсайда

Доверенный пользователь, имеющий

легитимный доступ и совершающий утечку

интелектуальной собственности компании

или другой бизнес-критичной информации.

Зачем он это делает:

• Намеренно

• Случайно

• Скомпрометирован

Insider Threat Defined!


Взгляд изнутри

Взлом почты

Взлом скайпа

Взлом соцсетей


Вектора атак

Интеллектуальная

собственность,

конкурентные

преимущества

Персональные данные,

финансовая

информация


Find the R.A.T.!! (Remote Access Trojan)

Защитите то, что действительно ценно!


Internal Employees

Malicious Insiders Compromised Insiders

Data Center Systems and Admins

Auditing and

Reporting Attack

Protection

Usage

Audit

User Rights

Management

Access

Control

Tech. Attack

Protection

Logic Attack

Protection

Fraud

Prevention

External Customers

Staff, Partners Hackers

User Rights Management

Assessment & Risk Management

Комплексный портфель решений

Imperva’s Mission is to Provide a Complete Solution


Комплексное решение для

защиты данных

Простота развертывания и

администрирования

Соответствие стандартам

информационной безопасности,

в том числе ФСТЭК №17, 21

Собственный

исследовательский центр

Повышение эффективности

Imperva SecureSphere


Архитектура решения

SecureSphere for SharePoint

File Activity Monitoring

Management Server (MX)

Database Activity

Monitoring

Web Application

Firewall

INTERNET

Imperva Agent

Imperva Agent

Network Monitoring

Network Monitoring

Native Audit

Internal Users


Позиционирование на рынке


Аудит

использования

Контроль

доступа

Управление

правами

Защита от атак

Репутационный

анализ

Virtual

Patching

Комплексный портфель решений


Network Security Players

WAF (EOL 2010)

WAF (Tier 3)

WAF & DAM (Tier 3)

DAM (EOL 2009)

WAF (Tier 3)

Конкурентное окружение

Confidential 16


Защита Веб-приложений

Понимание логики приложений:

URL’ы, поля, cookies, JavaScript

«Виртуальный патчинг» веб-сайтов

Анализ репутации пользователей

Сигнатурная защита от атак

Защита периметра

Сигнатуры для определения приложений

Контроль доступа пользователей

Только Imperva действительно защищает

уязвимые приложения!

P

P

P

P

P

P P

P

P

Две проблемы.. Два решения!

http://www.imperva.com/index.html


WAF

• Виртуальный патчинг

• Защита от атак (SQL code injection, XSS, directory traversal, RFI)

• Защита от атак на бизнес-логику (i.e. site scraping and comment spam)

• Защита от фрода

• Аудит использования

• MS SharePoint Protection

• Legacy Application Protection

• PCI 6.6

• Защита от утечек данных

DAM

• Виртуальный патчинг СУБД

• Аудит привелегированного доступа

• Управление правами

• Ограничение доступа

• Data Across Borders Protection

• Защита от утечек

• Поиск и классификация

• Аудит доступа к конфиденциальной информации

• Защита данных VIP-клиентов

FAM

• Управление правами

• Контроль доступа

• Поиск собственников

• Аудит доступа к конфиденциальной информации

• Перераспределение прав пользователей

• Защита данных VIP

• Поиск и классификация

Полноценная защита Web, Database, File и SharePoint

Примеры использования

Как Imperva поможет защитить данные?


Imperva дополняет имеющуюся инфраструктуру

Confidential 19

Специализированные решения для SAP, OEBS,

PeopleSoft, SharePoint

Интеграция со сторонними производителями:

• Vulnerability Scanning

• SIEM

• DLP

• Fraud Management

• Endpoint Protection

• Cloud


Технология Virtual Patching и интеграция со сканерами уязвимостей

SecureSphere может импортировать

результаты сканирования для мгновенного

создания политик безопасности

Дает время для устранения уязвимостей или

обновления ПО

Customer Site

Scanner finds vulnerabilities

SecureSphere imports scan results

Web applications are protected

http://welcome.hp.com/country/us/en/welcome.html

http://www.ibm.com/us/en/

http://www.whitehatsec.com/home/abt/abt.html


Быстрая и эффективная защита веб-приложений

116 дней: среднее время до выхода исправления1

Политики SecureSphere’s и технология virtual patching

сокращает эти сроки со 116 дней до 0-5 дней

SecureSphere может закрывать даже ненайденные

сканерами уязвимостей бреши

Vulnerability found

Code fix developed and tested

System protected

Vulnerability found

Virtual Patch

System protected

1 WhiteHat Website Security Statistics Report, Winter 2011

https://www.whitehatsec.com/resource/stats.html


Интеграция с SIEM

Глубокий анализ событий информационной

безопасности

• Correlate security events across systems and networks, and

pinpoint critical security issues

• Satisfy key compliance requirements

• Aggregate alerts from different security devices to help streamline

forensics investigations.

• Get better visibility needed for effective troubleshooting and

improved MTTR (Mean Time to Resolution)


Интеграция с DLP


Web Application Firewall

24 Confidential


ТОП-10 угроз OWASP, 2013

1) Injection

• Защита от SQL, LDAP, Xpath и OS injection

2) Broken Authentication and Session Management

• Защита и контроль процесса аутентификации и пользовательских сессий

3) Cross-Site Scripting (XSS)

• Сигнатурные и поведенческие механизмы защиты

4) Insecure Direct Object References

5) Security Misconfiguration

6) Sensitive Data Exposure

• Контроль возвращаемой информации

7) Missing Function Level Access Control

8) Cross-Site Request Forgery (CSRF)

• Корреляционные политики безопасности

9) Using Components with Known Vulnerabilities

• Технология Virtual Patching

10) Unvalidated Redirects and Forwards


Основные отличия Imperva WAF


Dynamic Profiling

Attack Signatures

HTTP Protocol Validation

Cookie Protection

Web Fraud Detection Fraud Prevention

Technical Attack Protection

Business Logic Attack Protection

Co

rre

late

d A

tta

ck

Va

lid

ati

on

IP Geolocation

IP Reputation

Anti-Scraping Policies

Bot Mitigation Policies

Комплексная безопасность требует обдуманной защиты приложений


Dynamic Profiling

Attack Signatures

HTTP Protocol Validation

Cookie Protection

Web Fraud Detection Fraud Prevention

Technical Attack Protection

Business Logic Attack Protection

IPS & NG Firewall Web Security Features

IP Geolocation

IP Reputation

Anti-Scraping Policies

Bot Mitigation Policies

Co

rre

lati

on

(W

eb

Pro

file

Co

rre

lati

on

)

Высокий уровень ложных срабатываний

из-за недостаточного понимания

структуры и логики приложения

Легкая добыча для хакеров из-за

уязвимостей самого приложения


Концепция WAF Testing Framework (WTF)

• Инструмент для определения реальной эффективности IPS\NGFW\WAF при защите от веб-атак

• Комбинация легитимного и вредоносного трафика

• Оценка двух параметров:

• Good traffic being blocked (False Positives)

• Bad traffic being overlooked (False Negatives)

• Дает наглядное представление о балансе между безопасностью и непрерывностью бизнеса

• Скачивание и тестирование – бесплатно!


DB Security

30 Confidential


Ключевой функционал

CONFIDENTIAL

Поиск и

классификация

Поиск

«чувствительной»

информации •Поиск в активных базах

•Поиск мошеннических БД

•Определение областей

мониторинга

SecureSphere DAS

Rogue

SSN

Credit Cards

PII



CONFIDENTIAL

Активный аудит

Сбор и хранение

отчетности доступа к

БД •Соответствие

требованиям

регуляторов

•Проведение экспертизы

и анализа

Databases Users

SecureSphere

DAM

Audit Details Audit Policies

Контроль

привилегированного

доступа

Мониторинг

привилегированных

пользователей •Разделение полномочий

•Мониторинг всей

активности

•Возможность

блокировки

Database Agent

Appliance Privileged

User

Audit Policies



CONFIDENTIAL

Аналитика

Детализированный

лог аудита,

наглядные,

интеррактивные

отчеты •Ускоряет

расследование

инцидентов

•Упрощает compliance

Блокировка

Мониторинг

активности •Предотвращение

неавторизованного

доступа

•Активная защита

информации

UPDATE orders set client ‘first

Unusual Activity

X P

Allow

Block

Network User,

DBAs, Sys Admin

X



CONFIDENTIAL 34

Отчетность

Наглядный

интерфейс •Анализ угроз

•Упрощение

планирования ИБ

PCI, HIPAA, SOX…

Custom

Оповещение

Оповещение в

реальном

времени •Быстрое

определение

вектора атаки

•Предотвращение

утечек

Email

SYSLOG

Dashboard

SIEM


Создание набора действий при срабатывании политики

ArcSight SIEM Action Set

Set As Followed Action


Сканирование уязвимостей БД и технология Virtual Patch, Scuba by Imperva

Свободно распространяемая

утилита для сканирования

уязвимостей и конфигураций

БД, включая информацию по

установленным обновлениям

Отчеты предоставляют

наглядную информацию по

актуальным угрозам.

Регулярное обновление ПО

Scuba гарантирует актуальность

встроенных в сканер проверок

- CONFIDENTIAL -


Scuba - Functionality

Scan databases – nearly 1,200 tests

• Vulnerabilities

• Configuration flaws

• Missing patches

5 reports

• Summary Report

• Assessment Report Summary

• Detailed Assessment Report with remediation

• Failed Tests Summary

• Informational Tests Summary

Supports: Oracle, Microsoft SQL, DB2 and Sybase, Informix and MySQL

CONFIDENTIAL 37

Database

Discovery

Data

Classification

Vulnerability

Assessments Virtual Patching

SecureSphere Discovery & Assessment Server Scuba

Vulnerability

Assessments


File Security

38 Confidential


• As data grows, so does the volume of user access rights

• Rights are also very dynamic • Employees, contractors, consultants, etc., join/leave the

organization, start/finish projects, change job roles, etc.

39

80%

20%

Unstructured (file data)

Structured (DB, Apps)

Substantial volume IDC: 2009 File-Based Storage Taxonomy, 11/09

Constant growth IDC: 11/09

0

20

40

60

80

1 2 3 4 5 6 7 8 9 10

Enterprise data volume

60%

Vo

lum

e

Time

Что хранится и как этим пользуются?


Unstructured

Файловые сервера с

конфиденциальной

информацией: бизнес

документация,

интеллектуальная

собственность, финансовые

отчѐтности и др.

Аудит: кто имеет

доступ, кто владелец,

кто пользовался?

Определение

избыточных прав и

мѐртвых аккаунтов.

Мониторинг доступа:

оповещение и/или

блокирование в случае

нелегитимной

активности.

Принципы защиты



• Аудит доступа, безопасность и целостность ваших

данных

• Оповещение в случае нелегитимной активности

File Firewall

• Весь функционал File Activity Monitoring, плюс…

• Возможность активной блокировки

User Rights Management for Files

• Сбор и пересмотр прав пользователей, определение

избыточных прав и мѐртвых аккаунтов

• Определение прав доступа для критичной

информации

Решение для защиты файловых серверов



File Firewall


Users

File Servers and NAS Devices

File Servers and NAS Devices

Imperva SecureSphere

File Security Deployment Scenario


How it works

43

NAS

File Servers

Joe, IT

Jim, HR

• Crawl File Systems • Find name, type, owner, permissions…

• Apply Classification Policies • Owner, Org, Location

• Automatic content classification (2011)

File Firewall / File Activity Monitoring

X

Enforce Policies

Who What Action

Non

Finance

Update

Financials

Block

Any Read PII Audit

Audit Log

Who What When Action

Joe Read

CC.xls

1/1/2010

12:50

Block

Jim Read

PII.doc

1/1/2010

12:51

Audit

Build Data/Permission Map

Who Group What Class

Joe,

IT

Fin-CC Read

cc.xls

Financials

Jim,

HR

HR-Exec Read

PII.doc

PII

2 1 3

OK


Интеграция с продуктами Cisco

44 Confidential


Imperva и Cisco

Imperva SecureSphere WAF для устройств

Cisco Nexus 1010/1110, в продаже начиная

с мая 2013


SecureSphere Web Application Firewall Надежная, автоматизированная защита от сетевых угроз

Reputation Services Репутационный анализ в реальном времени для

блокирования автоматизированных атак и активности

бот-сетей.

Fraud Prevention Блокирование атак типа “Men in the browser“ и

мошеннической активности

Thre

atR

ad

ar

Линейка продуктов Imperva WAF


Рациональное внедрение WAF в инфраструктурах, построенных на Cisco

Поддержка ролевого доступа и реализация механизмов разделения полномочий

Оптимизация инвестиций и сокращение операционных расходов за счет консолидации нескольких сервисов на единой платформе

Дополнение стандартных функций высокой доступности, мониторинга и управления систем Nexus 1010/1110

Преимущества Imperva на Cisco Nexus 1010\1110


Imperva и платформа Cisco UCS

Cisco UCS blade servers and rack servers support

virtualized and non-virtualized applications to increase:

• Performance

• Energy Efficiency

• Flexibility

• Administrator productivity

Thousands of companies rely on Cisco UCS servers to

run their most critical applications

The SecureSphere product family is IVT-certified to run

on UCS blades (B-series) and rack mounts (C-series)


Cisco UCS 5108


Users

Web

Servers

Imperva Web

Application Firewall

Imperva Application

Defense Center

Схема развертывания на Cisco UCS и Nexus

Cisco Nexus 1110

WAF DBF

Imperva Database

Firewall

DBs Web

Server

Virtual Web

Servers

Cisco UCS 5108

Virtual

Databases

Imperva Web Application Firewall

WAF


Планы по интеграции

SecureSphere Virtual Appliance on UCS

NVxx00 on Cisco Nexus 1100 series

• Support for

UCS

•NV1000 (100Mbps)

• IVT Certified

Support for UCS

• NV1000,

• NV2500 (500Mbps)

• NV4500 (1Gbps)

V10.5 V 7.5- 9.0 V10.0

NVxx00 Integration with Cisco vPath • NV1000 (100Mbps),

• NV2500 (500Mbps)

• NV4500 (1Gbps)


Интеграция Imperva и Cisco 1000V vPath

• Use vPath to define the route of Web traffic

• If SecureSphere instances are moved, vPath will route traffic to

the new SecureSphere instances

• Easily support transparent bridge, non-inline sniffer,

and fail open HA in virtual environments

• Support multi-hypervisor environments

• Estimated release date: Q1/2014

Documents

Решения Imperva для защиты веб приложений и …...Защита Веб-приложений Понимание логики приложений: URL’ы,