Александр Шахлевич, Imperva

1. © 2015 Imperva, Inc. All rights reserved.
Imperva SecureSphere WAF&DAP
Александр Шахлевич
Confidential1

2. © 2015 Imperva, Inc. All rights reserved.
Атаки на веб и БД
Confidential2

3. Веб-приложения – врата к данным
• 85% успешных атак можно описать
всего 10 основными паттернами
• 40% подтвержденных утечек были
связаны с уязвимостями веб-
приложений
• 95% подтвержденных утечек были
финансово мотивированы
Lastly we want to thank AsTech Consulting, Imperva, and WhiteHat Security for scan data and mind melds around web application security.”
Source: 2016 Verizon Data Breach Investigation Report

4. © 2015 Imperva, Inc. All rights reserved.
Скорость компрометации систем возрастает
В 2015 году срок
компрометации в 84%
утечек составил сутки и
менее

5. © 2015 Imperva, Inc. All rights reserved.

6. Дополнительные задержки при загрузке страниц напрямую
влияют на выручку компании
Sources: KISS Metrics - How Loading Time Affects Your Bottom Line, Aberdeen Group
Задержки при загрузке
сайта влияют на
повышение оттока
посетитетелей с ресурса
Page
Abandonment
Increase as a
Percentage.
25%
2 10864
Page load in seconds.
50%
В соответствии с отчетом
Aberdeen Group
1-секундная задержка в отклике
приводит к следующим
показателям:
Fewer
Page Views Decrease
in Customer
Satisfaction
Loss in
Conversions
11%
16% 7%

7. © 2015 Imperva, Inc. All rights reserved.
Основные отличия WAF от IPS&NGFW

8. © 2015 Imperva, Inc. All rights reserved.
Что такое OWASP Top 10?
Confidential8

9. © 2015 Imperva, Inc. All rights reserved.
OWASP TOP-10 20132010
Confidential9
https://owasp.org/index.php/CISO_Survey_2013:_Threats_and_risks

11. © 2015 Imperva, Inc. All rights reserved.
WAF vs. NGFW
OWASP Top 10 (for 2013)

12. © 2015 Imperva, Inc. All rights reserved.
Атаки на СУБД
Confidential
12
• Критичный актив
– СУБД – ядро операционной деятельности
– Содержит конфиденциальную информацию компании
– Содержит информацию о клиентах компании
– Вывод СУБД из строя может парализовать работу компании
• Способы компрометации
– Простые и доступные инструменты
– Появление более сложных инструментов совершения многоступенчатых атак
– Инсайдер - случайниыйскомпрометированнныйзлоумышленный
• Обширные возможности
– Использование «толстых» клиентов
– Использование веб-интерфейса
– Отсутствие встроенного функционала безопасности
– Отсутствие защиты на уровне прикладных систем

13. © 2015 Imperva, Inc. All rights reserved.
Ключевые системы и задачи по отраслям
Отрасль Критичные системы Задачи
Финансовые компании • АБС
• ДБО
• Процессинг
• Платежные системы
• Онлайн-сервисы
• Корпоративные ресурсы
• Защита от мошенничества
• Обеспечение доступности
• Защита данных VIP
• Контроль действий
администраторов
• Управление правами
пользователей
• Ограничение доступа
• Защита ERP
• Защита онлайн-сервисов
• Соответствие требованиям
регуляторов
Страховые, онлайн ритейл • Личный кабинет пользователя
• Онлайн-сервисы
• Корпоративные ресурсы
• Логистика
Телеком • Биллинг
• Корпоративные ресурсы
• Личный кабинет пользователя
• Услуги хостинга
• Облачные услуги
Госкомпании • Корпоративные ресурсы
• Госуслуги
• СМЭВ
• ГАСУ
ТЭК и промышленность • SCADA
• Система учета добычивыработки
• ERP
• CRM
• Корпоративные ресурсы

14. © 2015 Imperva, Inc. All rights reserved.
Требования регуляторов
• Защита Персональных Данных
– ОЦЛ.2 - Контроль целостности информации, содержащейся в базах данных информационной системы
– ОЦЛ.5 - Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на
свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием
сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы
– ЗИС.1 - Разделение в информационной системе функций по управлению (администрированию) информационной
системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных
функций информационной системы
• PCI DSS
– Требование 7. Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью
– Требование 10. Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт
• СТО БР ИББС
• 382-П
• SOX
• И другие..

15. Формальные требования или полезные наставления?
Требования регуляторов
СТО БР ИББС
sox
IB-TRM
HITECH
PCI-DSS
382-П
NCUA
748
FISMA
GLBA
ФСТЭК
Financial Security
Law of France
ФСБ
BASEL II
Лучшие практики
Оценка
рисков
Мониторинг и
аудит
Управления
правами
Защита от
атак
Реагирование и отчетность

16. © 2015 Imperva, Inc. All rights reserved.
Imperva SecureSphere
Web Application Firewall – WAF
Confidential16

17. © 2015 Imperva, Inc. All rights reserved.
Гранулированная многоуровневая
защита
Простое внедрение в любую
инфраструктуру
Удобное и простое управление
с технологией Dynamic Profiling
И многое другое...
Imperva SecureSphere
Пожалуй лучший Web Application Firewall

18. © 2015 Imperva, Inc. All rights reserved.
Как в реальности нужно защищать веб-при
18
CorrelatedAttackValidation
VirtualPatching
DDoSProtection
Dynamic Profiling
Attack Signatures
Protocol Validation
Cookie Protection
Fraud Connectors
IP Geolocation
IP Reputation
Anti-Scraping Policies
Bot Mitigation Policies
Account Takeover Protection
Technical
Vulnerabilities
Business Logic
Attacks and more

19. © 2015 Imperva, Inc. All rights reserved.
Virtual Patching
Confidential19
Application
scanned
Results
imported
Mitigation policies
Automatically created
Application
protected

20. © 2015 Imperva, Inc. All rights reserved.
Центр Imperva ADC
исследует новые
угрозы по всему
миру
Imperva Application
Defense Center
Internal Users
SecureSphere
Web Servers
INTERNET
Системы SecureSphere
обладают новейшими
противомерами
Определение сканирования сети и самих атак с
помощью сигнатур
Сигнатуры определяют попытки сканирования и атаки

21. © 2015 Imperva, Inc. All rights reserved.
SecureSphere останавливает атаки типа SQL Injection, XSS
Hacker SecureSphere WAF
/login.php?ID=5 or 1=1
SQL Injection SQL Injection Engine
with Profile Analysis
Signature, Protocol
Violations
Блокирование однозначных
соответствий, отправка
подозрительных запросов на
дополнительный анализ
Продвинутый анализ значительно снижает уровень
ложных срабатываний
SQL Injection Engine
блокирует даже
нетиповые атаки
Web Server

22. © 2015 Imperva, Inc. All rights reserved.
0
100
200
300
400
500
600
700
01.июн 06.июн 11.июн 16.июн 21.июн 26.июн
636
243
32
33
76
55 40 25 21 11 13 28 24 18
41
7 4 5 7 4 8 11 15 2 3 4 1
 Сокращение сроков развертывания с месяцов до дней
 Снимает нагрузку с администраторов
 5-15 изменений в неделю равноценны 5-30 человекочасам конфигурирования
Дата
Изменениепрофиля
Изучение
приложения и
поведения
Адаптация к изменениям
Динамическое профилирование во времени

23. © 2015 Imperva, Inc. All rights reserved.
Imperva ThreatRadar
Confidential23
• Глобальный сервис для защиты от
новых угроз
• Саморазвивающееся сообщество
• Под надзором Imperva ADC
• Набор подписок для различных задач
– ThreatRadar Reputation
– ThreatRadar Bot Protection
– ThreatRadar Account Takeover Protection
– ThreatRadar Fraud Prevention

24. © 2015 Imperva, Inc. All rights reserved.
SecureSphere WAF + ThreatRadar Reputation Services
Confidential24
Web
Servers
Management Server (MX)
Web App Firewall
SecureSphere
legitimate
traffic
Policies
REPUTATION SERVICE
Signatures
Correlation
THREATRADARCrowd-sourced from worldwide
Imperva customers
Malicious IP addresses
Anonymous Proxies
Tor Networks
Phishing URLs
Bad IP Geolocations
Comment Spammers

25. © 2015 Imperva, Inc. All rights reserved.
ThreatRadar Bot Protection
Bot Classification Engine
ThreatRadar
Bot Signatures
updated weekly
Check for Suspicious
Activity
Malicious
Bot
Unknown Bot (no
reputation)
Browsers
Critical Bots
(google, yahoo,
bing etc.)
bypass
“browser-only”
enforcement
Check for Suspicious
Activity
Incapsula SOC actively fight bots by
classifying them
Bot Signatures crowd sourced from Incapsula

26. © 2015 Imperva, Inc. All rights reserved.
Сценарии развертывания WAF
Confidential26
On-Premises
WAF
WAF
Web
Servers
WAF for
AWS
WAF
Web
Servers
Web
Servers
Cloud
WAF

27. © 2015 Imperva, Inc. All rights reserved.
Inline, Non-inline, and Virtual Options
Confidential27
MX Management
Gateway Virtual GatewayGateway
ThreatRadar
Users

28. © 2015 Imperva, Inc. All rights reserved.
Gartner MQ for Web Application Firewalls 201420152016
Confidential28
Imperva SecureSphere WAF – третий год подряд единственный ЛИДЕР в области
межсетевых экранов для web-приложений по мнению Gartner

29. © 2015 Imperva, Inc. All rights reserved.
Imperva SecureSphere
Data Audit&Protection - DAP
Confidential29

30. © 2015 Imperva, Inc. All rights reserved.
Ни защиты, ни compliance!
Можно получить compliance, но
реальная защита будет
посредственная
Защита и compliance
Использовать Native Audit
Ничего!
Использовать решения класса DAMFAM
Что делать?

31. © 2015 Imperva, Inc. All rights reserved.
Почему организации не включают штатный аудит?
• Влияние на
производительность СУБД
• Требования к СХД
• Ручное составление политик
для разрозненных баз
• Сложность составления и
поддержания политики
безопасности без инструментов
автоматизации
• Большие трудозатраты для
эффективного анализа результатов
аудита
• Не знают какие политики аудита
настраивать
• Не знают где могут находиться
ценные данные
• Администраторов БД, как правило,
мало, и они очень занятые люди

32. © 2015 Imperva, Inc. All rights reserved.
Проблемы Native Audit и решений, работающих на его базе
• Сложность администрирования
• Нет идентификации пользователя в трёхзвенной архитектуре
• Нет контроля привилегированных пользователей и администраторов
• Отсутствие механизмов противодействия атакам
• Нет единого средства для гетерогенных сред
• Потеря производительности на уровне 20-70%

36. © 2015 Imperva, Inc. All rights reserved.
Сопряженные расходы
Дополнительные СХДЗатраты на Hardware и
Software
Человеческие
ресурсы
• Дополнительные расходы при использовании Native Audit

37. © 2015 Imperva, Inc. All rights reserved.
Что входит в процесс защиты БД?
• Поиск конфиденциальной информации
• Определение, настройка и поддержкание
политик безопасности
– Отдельные политики для безопасности и аудита
• Мониторинг нарушений политик безопасности
• Динамическое профилирование
– Выявление поведенческих аномалий
• Оповещение, карантин и блокировка на выбор
• Отчетность в соответствии с выбранным
стандартом или пользовательским шаблоном
Confidential37
Имя Паспорт Зарплата
Петр Иванов 4600№300200 77,000
Начальник
Петра И
4700№100000 7,700,000

38. © 2015 Imperva, Inc. All rights reserved.
Поиск и классификация
SecureSphere DAS
Rogue
SSN
Credit Cards
PII
Поиск и классификация
Поиск сущностей БД и
классификация
конфиденциальной
информации
 Поиск активных сущностей в сети
 Определение мошеннических БД
 Определение областей
мониторинга
Intellectual Property

39. © 2015 Imperva, Inc. All rights reserved.
Сканирование
уязвимостей и их
устранение
Поиск и устранение
уязвимостей и ошибок
конфигурации
 Автоматизированный процесс
поиска и закрытия уязвимостей
Анализ рисков и закрытие уязвимостей ПО
SecureSphere
DAS
Security Vuln.
Missing
PatchConfiguration
Flaw
Mitigate
Virtual
Patch

40. © 2015 Imperva, Inc. All rights reserved.
Анализ и управление правами пользователей
SELECT
UPDATE
DELETE
INSERT
Users Roles Privileges Objects
Анализ прав доступа
Сканирование и анализ
предоставленных прав
 Устранение нежелательного
доступа
 Определение собственников
информации
 Снижение риска утечки

41. © 2015 Imperva, Inc. All rights reserved.
Аудит всей активности
Активный аудит
Сбор и запись всей
активности в СУБД
 Выполнение требований
регуляторов
 Независимое хранилище для
анализа инцидентов DatabasesUsers
SecureSphere
DAM
Audit DetailsAudit Policies
Мониторинг
привилегированного
доступа
Мониторинг
привилегированных
пользователей
 Разделение полномочий на
практике
 Мониторинг всей активности,
включая локальную
 Блокировка при необходимости
Database Agent
Appliance
Privileged User
Audit Policies

42. © 2015 Imperva, Inc. All rights reserved.
Обеспечение безопасности в реальном времени
Оповещение
Оповещение в реальном
времени о подозрительной
активности пользователей
 Быстрая локализация атак
 Предотвращение кражи данных
Email
SYSLOG
Dashboard
SIEM
Блокировка
Мониторинг доступа к БД
 Предотвращение
неавторизованного доступа
 Защита конфиденциальной
информации
UPDATE orders set client ‘first
Unusual Activity
X

Allow
Block
Network User,
DBAs, Sys Admin
X

43. © 2015 Imperva, Inc. All rights reserved.
Анализ и отчетность
Отчетность
Наглядная отчетность
 Анализ угроз
 Отчет по соответствию
требованиям регуляторов
 Пользовательские отчеты
PCI, HIPAA, SOX…
Custom
Аналитика
Детализированные логи
аудита, интерактивные
дашборды и отчеты
 Помощь при расследовании
инцидентов
 Автоматизация безопасности

44. © 2015 Imperva, Inc. All rights reserved.
Архитектура решения
Confidential44
SecureSphere
for SharePoint
File Activity
Monitoring
Management
Server (MX)
Database
Activity
Monitoring
INTERNET
Imperva
Agent
Imperva
Agent
Network
Monitoring
Network
Monitoring
Native
Audit
Internal
Users
Web Application
Firewall

45. © 2015 Imperva, Inc. All rights reserved.
Ключевой функционал решений Imperva DAM
1. Поиск
2. Классификация
3. Мониторинг
4. Аудит
5. Защита
6. Отчетность
45
Discover rogue
databases
Map and classify
sensitive
information
Default and
custom policy
trees
300+ Out of the
box policies
Automate user
rights analysis
and verification
Id and track
vulnerabilities
Simple policy and
rule creation
Data enrichment
Activity
monitoring
Privileged user
monitoring
Pan-enterprise
reporting
Investigate and
analyze

46. © 2015 Imperva, Inc. All rights reserved.
Поддержка широкого спектра СУБД

47. © 2015 Imperva, Inc. All rights reserved.
Аудит СУБД с точки зрения нужд различных департаментов
47
Objective IT DBAs Security
Risk and
Compliance
Privacy &
Legal
Application
Development
Regulatory compliance
Corporate best practice
policy adherence
Forensic data security
visibility and investigation
Change control
reconciliation
DB performance and
optimization
Application development
testing and verification

48. Imperva – лидер в области аудита и защиты данных (DCAP)
по мнению Gartner
Confidential48
Imperva – один из немногих производителей,
на 100% выполняющих требования Gartner к
решениям класса DCAPGartner Market Guide for DCAP,
December 15, 2015

49. SecureSphere monitoring is efficient and fast
49
IBM reads & writes every record 5 times.
Imperva real time architecture minimizes the impact on server, network and storage
2.TransmittoGateway
1. Agent
capture
SQL traffic
3. Gateway
parse &
apply policy
Audit DB
4. Write audit to disk
DB Host with
SecureSphere Agent
SecureSphere Gateway
SecureSphere DB Agent + Gateway Data Capture & Analysis
1. Agent
capture SQL
traffic
DB host disk
buffer
2. Write to disk
4. Send
SQL traffic
3. Read from disk
5.TransmittoCollector
6. Collector
capture
SQL traffic
Collector disk
buffer
7. Write to disk
9. Parse &
apply policy
8. Read from disk
Audit & alert DB
10. Write to disk
DB Host with
Guardium Agent
Guardium Collector
Guardium DB Agent + Collector Data Capture & Analysis
`
5.AlertstoMX
Imperva = Simple IBM = Complex
Flat
file
1
2
3
4
5
1

50. © 2015 Imperva, Inc. All rights reserved.
Защита данных в любом месте
Big Data engines Cloud adoption
SecureSphere
Data
Protection
for
SecureSphere
for Big Data
Imperva
CounterBreach
Protecting the
weakest link -
users
Insider threat protection

51. © 2015 Imperva, Inc. All rights reserved.
Вопросы?
Confidential51