Современная IPS на базе Snort от SourceFire 3D

Кто не слышал о Snort? Snort знают все!

Мероприятие о представлении современной версии Snort (у нас на сайте был анонс об этом событии (http://iso27000.ru/sobytiya/besplatnaya-prezentaciya-produktov-kompanii-sourcefire) прошло с большим успехом.

Компания Sourcefire Founder & CTO  разработала новаторское решенииеSourceFire 3D по IDS / IPS, в России данный продукт представляли специалисты компании Rainbow Technology - Роман Ламинин и Анатолий Вартанов, надо сказать, они в последнее время активизировались, их мероприятия проходят с большим успехом. У Романа особая манера излагать факты, ему хочется верить :)

Как обычно, на подобных презентациях, запугав в начале аудиторию упрямой статистикой о количество атак в мире и процитировав Martin Roesch из Sourcefire Founder & CTO: “IPS за $100,000 может быть взломана с помощью лаптопа и пары сникерсов.”, докладчик подробно описал методы сбора фактов в данной IDS:

Поведенческое обнаружение аномалий в сети (NBA)

• Обнаружение на основе правил требует самих правил
• AD ищет аномальное поведение, а не угрозы
• Примеры 

• Ваши сервера инициализируют связь с КНДР

  Огромный трафик исходящий от СУБД (происходит дамп данных

  Запущены сервисы, которые не инициализировались

Из интересных возможностей SourceFire: 

• NBA, IPS и политики соответствия позволяют автоматически реагировать на событие:
• Отправить в карантин скомпроментированное сетевое устройство
• Обновить устаревшее или не корректно сконфигурированное ПО
• Уведомить о несанкционированном доступе к критичным ресурсам
• Создавать модули с пользовательскими настройками 

Как преимущество, было описано простота внедрения Sourcefire IPS. Был приведен пример внедрения андронного коллайдера, как не надо делать :)

Презентацию о SourceFire 3D IPS можно загрузить здесь.

28-10-2009  | Permalink |  Comments (1)