Fireeye predstavlja napravo za odkrivanje napadov v šifriranem prometu - FireEye SSL Intercept 10150
FireEye je globalni ponudnik rešitev za samodejno forenzično analiziranje napadov in dinamično zaščito pred naprednimi spletnimi grožnjami, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
opozarjata na najnovejše trende informacijskih napadov preko spletnega prometa, ki kažejo na to, da odstotek napadov, ki koristijo šifriranje prometnih podatkov, postopoma raste. Doslej je namreč veljajo, da šifrirane spletne strani večinoma niso bile zlorabljene, zato spremljanje prihajajočega šifriranega prometa ni bilo pomembno, šifrirane klice do komandnih centrov škodljive kode pa se je dalo blokirati tudi brez dešifriranja, zato tudi spremljanje šifriranega odhajajočega prometa ni bilo potrebno. A stvari se spreminjajo.
Podjetja in druge organizacije, ki smatrajo, da morajo spremljati tudi šifrirani promet (SSL) in v njem zaznavati morebitne vdore, se lahko sedaj obrnejo tudi na FireEye. Rešitev je zanimiva za potencialno nove stranke ter stranke, ki že imajo rešitev za zaščito spletnega prometa pred naprednimi napadi, to je eno od naprav iz družine FireEye NX.
Integracija z napravami FireEye NX
Naprava FireEye SSL Intercept se uporablja v kombinaciji z eno ali več napravami FireEye NX. SSL Intercept pri tem deluje kot posrednik - proxy - ki prestreza spletni promet, in ga posreduje do naprave NX v analizo, pred tem ga po potrebi, se pravi če je tipa SSL, dešifrira, da lahko NX naprava "vidi" dejanske podatke.
Napravo je mogoče namestiti v aktivnem ali pasivnem načinu. V pasivnem načinu prepušča promet brez motenj, hkrati pa ga nešifriranega posreduje tudi do NX naprave, ki lahko opozori na nevarno vsebino. V aktivnem načinu naprava vedno počaka na odgovor NX naprave, ki pove, ali je vsebina nevarna ali ne, neškodljiv promet posreduje naprej, škodljivega pa zaustavi. Naprava lahko spremlja promet pasivno v SPAN/TAP načinu, ali aktivno v prometnem toku - inline. V primeru inline postavitve se lahko izognemo kritični točki odpovedi z aktivnim preklopom FireEye 10G AFO kit, ki lahko, v primeru da pride do okvare na kateri od FireEye naprav, prepušča promet brez njiju.
Naprava omogoča tudi arhitekturo z porazdelitvijo bremen (load balancing) za dve NX napravi v SPAN/TAP postavitvi ali za tri NX naprave v inline postavitvi. Deluje lahko z vsemi NX napravami, še posebej koristna pa po v kombinaciji s tistimi "malo večjimi" iz serij NX 7xxx, 9xxx ali 10xxx.
Zasebni podatki, odpravljanje dvomov glede vpogleda v šifriran promet
Naprava lahko v celoti spremlja tako prihajajoče, kot tudi odhajajoče šifrirane podatke. A obstajajo primeri, ko šifriranega prometa ne smemo ali ne želimo dešifrirati in analizirati. En tak je recimo poslovanje na straneh spletnega bančništva. Seveda lahko FireEye SSL Intercept uporabljamo tudi v takih okoljih, potrebno je le prirediti delovanje. Naprava omogoča način "SSL bypass", kar dejansko pomeni, da ob določenih primerih samo prepušča SSL promet, brez da bi ga kakorkoli razgradila ali poskušala zaustaviti. Za odločanje o prestrezanju ali ne se lahko uporablja storitev Trusted Site ID, ki je online podatkovna baza s seznamom skoraj pol milijarde spletnih strani razdeljenih v več kot 80 kategorij, in potem lahko FireEye napravi na primer določimo, da ne sme prestrezati spletnega prometa od/do spletnih strani iz kategorije Elektronsko Bančništvo. Lahko pa tudi sami dodajamo strežnike ali domene, katere je treba nemoteno prepuščati.
Nekaj ključnih podatkov in lastnosti
omogoča vpogled v šifrirani promet SSL (TLS)
delovanje: pasivno (samo opozarjanje) ali aktivno (zaustavljanje škodljive vsebine)
samo en model: SSL Intercept 10150 - za integracijo z katerimkoli NX modelom
skladnost: SSL 3, TLS 1.0, 1.1, 1.2
prepustnost: 5.5 GB/s (če je 100% SSL) - 20Gb/s (če je 100% HTTP)
zmogljivost: 4.000.000 hkratnih TCP / 400.000 hkratnih SSL sej, do 15.000 SSL izmenjav (SSL handshake) na sekundo
algoritmi javnih ključev: RSA, DHE-RSA, ECDHE-RSA, ECDHE-ECDSA with PFS
simetrični algoritmi: AES 128, AES 128-GCM, AES 256, AES 256-GCM, ARC4, 3DES, DES
šifrirni ključi: 512-4096 bitni
dodatna funkcionalnost: zaznavanje in obdelava neveljavnih ali sumljivih certifikatov
arhitektura: TAP / SPAN ali inline, AFO kit, aktivno ali pasivno, inbound + outbound
posredniški način: eksplicitni ali transparentni
porazdelitev bremena: za do 3 NX naprave in do 8GB obdelanega prometa v pasivnem ali 10Gb v inline načinu
zasebnost podatkov: omogoča izjeme (SSL bypass) na podlagi ročnega seznama, spletnega seznama kategoriziranih strani, ali na podlagi zaznanih certifikatov
opcijska letna naročnina za integracijo z Trusted Sites ID
upravljanje: spletna konzola, CLI
revizijsko spremljanje: SNMP, Syslog, email, NetFlow v9 / v10 (IPFIX), sFlow, SIEM integracija
LDAP, TACACS+, RADIUS
REST-style XML API
Avtor / prevod: Robert Lubej
Povezava do domače strani:
https://www.fireeye.com/products/nx-network-security-products/ssl-intercept.html
Povezava do novice:
### ### ###
O podjetju FireEye Inc.
FireEye je globalni proizvajalec sofisticiranih varnostnih rešitev z več kot 1100 velikimi strankami iz vsega sveta vključno z več kot 100 podjetji iz seznama Fortune 500; med najbolj znanimi so Sallie Mae, Equifax, Juniper Networks, Heartland Payment Systems, San Francisco State University, Santa Barbara City College, idr.
Srce FireEye ponudbe je tehnologija izumljena v podjetju - na navideznih strojih temelječa varnostna platforma za sprotno zaščito pred najnovejšimi in najbolj sofisticiranimi grožnjami podjetjem in vladam po vsem svetu. Torej pred napadi, ki so sposobni izogniti se drugim bolj klasičnim varnostnimi rešitvam kot so požarne pregrade, IDS / IPS, protivirusne rešitve na prehodnih točkah ipd. Platforma FireEye Threat Prevention omogoča sprotno dinamično zaščito pred grožnjami brez uporabe vzorcev škodljivega prometa, pri čemer analizira in zaustavlja napade preko različnih vhodno-izhodnih poti, vključno s spletom, elektronsko pošto in datotekami, in na različnih stopnjah življenjskega cikla dolgotrajnega naprednega napada. Jedro platforme sta napredni virtualni pogon in dinamična varnostna analitika, ki skupaj omogočata prepoznavanje in blokiranje kibernetskih napadov v realnem času.
Več o podjetju najdete na spletnih straneh: http://www.fireeye.com
Dodatne informacije:
Robert Lubej, projektni vodja
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74