Система предотвращения атак Proventia Network Intrusion Prevention System (IPS) от IBM представляет собой программно-аппаратный продукт, защищающий сеть от атак, которые пропускают межсетевые экраны и антивирусы. На сегодня 99% компаний используют межсетевые экраны (файерволы) и антивирусы, но, тем не менее, продолжают страдать от атак. Технология IBM позволяет «на лету» обрабатывать сетевые потоки, обнаруживать в них различные виды атак и своевременно их блокировать.

Очень часто компании сталкиваются с отказами сервисов в случае DoS-атак. Нередко случается несанкционированный доступ со стороны собственных сотрудников, в том числе администраторов. Усложняет задачу защиты сети тот факт, что современные компании имеют большое количество систем, требующих постоянных обновлений. Кроме того, постоянно ужесточаются законодательные требования: закон о персональных данных, стандарт платежных систем PCI DSS, и все они требуют использования систем обнаружения и предотвращения атак.

Во многих компаниях также существует проблема отсутствия собственных специалистов-"безопасников", поэтому IBM создала решения, которые могут работать как автономно, так и подключаться к системам управления. Надо сказать, что хакеры постоянно ищут уязвимости в различных системах и работают на опережение систем защиты. Проблема в том, что после получения информации о той или иной уязвимости не всегда удается быстро поставить патч, и хакеры успевают выпустить эксплойты, с помощью которых осуществляют атаки.

Очень часто патч поставить невозможно из-за его отсутствия. Согласно статистике IBM, которая использует базу всех имеющихся уязвимостей в мире, на первую половину 2009 года не имело патчей 49% уязвимостей. Благодаря технологии Virtual Patch, система IBM находит атаки на уязвимости сразу после того, как выпущен эксплойт, до выхода патчей. Очень часто IBM сама находит уязвимости в своей лаборатории X-Force и рассказывает о них вендорам.

Таким образом, установка Proventia IPS позволяет защититься не только от существующих угроз, но и от тех, которые появятся в будущем. Например, IBM опередила атаки на критические уязвимости в таких продуктах, как Microsoft Power Point, Microsoft Excel, Adobe Reader. Эксперты IBM опередили распространение червя Conficker. Надо сказать, что Conficker использовался злоумышленниками в нескольких разновидностях, и для каждой из них у IBM сработала защита: от атак на Microsoft RPC, от перебора паролей и др. В конце концов, специалисты разобрали протокол, по которому черви общались между собой, и соответствующие сигнатуры и правила фильтрации были добавлены в IPS.

Таким образом, Proventia IPS с технологией Virtual Patch дает необходимое время на тестирование обновлений, которые можно ставить, например, во время ежемесячного обслуживания серверов. Такие операции осуществимы благодаря возможностям модуля анализа протоколов — Protocol Analysis Module (PAM). Он разбирает проходящие через устройство сетевые протоколы и форматы данных. На сегодня в его базе более 200 различных протоколов. Protocol Analysis Module защищает не только от существующих угроз, но и может предугадать, в какое место протокола может быть вставлен вредоносный код. В качестве аналогии можно привести организацию, территория которой обнесена высоким забором. Но никто из сотрудников не замечает дощечку, которую можно отодвинуть и проникнуть на территорию. Что же делать, когда кто-то обнаружит такую дощечку?

Условно говоря, при использовании обычной сигнатурной системы защиты, город, после нейтрализации всех злоумышленников, о которых известно, обычно считается защищенным. Но тут появится новый неучтенный ранее злоумышленник и проникнет в систему. Если мы сравниваем уязвимость с дощечкой в заборе, то система предотвращения атак, используя модуль анализа протоколов, возьмет под контроль эту «дощечку», и любой, кто попытается пройти за «забор», будет немедленно остановлен. Системе все равно, какого роста злоумышленник, какой у него цвет глаз и как он выглядит. То есть, мы смотрим на сам способ проникновения, а не ищем того, кто проникает.

Модуль анализа протоколов постоянно развивается. Он очень гибкий и легко перемещается между различными системами. Его можно увидеть в продуктах IBM по защите серверов и рабочих станций, в других продуктах сетевой защиты IBM. Недавно появились модуль по анализу утечек персональных данных и модуль по защите web-приложений. Благодаря этому предотвращается огромное количество угроз – компьютерные черви, шпионское ПО, пиринговые программы, DDoS-атаки и т.д.

Рассмотрим, что можно контролировать на выходе сети. Например, система предотвращения атак разбирает протоколы ICQ и других мессенджеров, протоколы, по которым передается информация, – FTP, SMTP и т.д. Учитывая множество каналов утечки информации, специалистам всегда важно знать формат передаваемых файлов. Proventia Network IPS позволяет заказчику создавать собственные сигнатуры. Например, можно предотвратить утечку информации о мобильных телефонах или номерах кредитных карт.

Половина всех уязвимостей в настоящее время приходится на Web-приложения. Это связано с тем, что открытые ресурсы Web-серверов можно свободно исследовать и эксплуатировать уязвимости, которые там есть. Модуль Web Application Security, работающий в составе Proventia Server IPS, защищает от нескольких видов атак, направленных специально на web-приложения, и помогает соответствовать имеющимся стандартам безопасности. Чаще всего атакующие пытаются использовать внедрение команд SQL и скриптов: Cross-Site Scripting.

IBM видит, как востребованы заказчиками системы предотвращения атак, но в то же время понимает, как тяжело им выбрать системы подходящего уровня. Чтобы показать преимущества своих продуктов, IBM отдает их для тестов в независимые лаборатории. По результатам тестов лаборатории NSS, IBM первой из вендоров за последние пять лет получила наивысшую награду Gold Award, что говорит о том, что в течение трех последовательных месяцев тестирования Proventia IPS показывала результаты блокирования атак равные 100%.