1 / 28

Websense TRITON 7.7

Websense TRITON 7.7. Новые возможности. Семь отраслевых инноваций. Инструменты исследователя Обнаружение шифрования Сохранение копии веб-трафика Защита файлов с паролями Обертывание ссылок в Email Функции OCR для DLP Поведенческий анализ в DLP. TRITON 7.7. Новые правила игры.

yule
Download Presentation

Websense TRITON 7.7

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Websense TRITON 7.7 Новые возможности

  2. Семь отраслевых инноваций • Инструменты исследователя • Обнаружение шифрования • Сохранение копии веб-трафика • Защита файлов с паролями • Обертывание ссылок в Email • Функции OCR для DLP • Поведенческий анализ в DLP TRITON 7.7

  3. Новые правила игры

  4. Почему традиционная защита неэффективна 1 ИСПОЛЬЗУЕТ СИГНАТУРЫИ РЕПУТАЦИЮ 2 НЕТ АНАЛИЗА СОДЕРЖИМОГОВ РЕАЛЬНОМ ВРЕМЕНИ Прошлая история – ненадежный предсказатель будущего. Разработка сигнатур уже давно не успевает за новыми угрозами Сбор образцов для лабораторного анализа в оффлайне Разработка новых сигнатур (трафик/файл) и репутации (URL/файл) 3 ФОКУС НА ВХОДЯЩЕМ ТРАФИКЕ, НЕТ АНАЛИЗА ИСХОДЯЩЕГО 4 УСТАРЕВШАЯ МЕТОДОЛОГИЯВ НОВОЙ «УПАКОВКЕ» Нет фокуса на данных, нет контекстного анализа, практически отсутствует информация для расследований UTM, NGFW, IDS, мониторы угроз Анализ SSL мешает скорости, часто вообще не делается

  5. Эффективность защиты Анализ в реальном времени RT Security Classifiers RT Content Classifiers RT Data Classifiers Anti-Malware Engines URL Classification Reputation Analysis Anti-Spam/Spear-Phishing Слишкоммедленно Проактивные ACE Cloud-Assist Известныеугрозы Неизвестные угрозы AV+URL+Rep Sandbox AV NGFW Слишком поздно Реактивные Анализ в фоновом режиме (оффлайн)

  6. ACE (Advanced Classification Engine) • Количество активных связей между модулями Web, Data, Email больше, когда они все работают в составе TRITON • В отличие от использования продуктов по отдельности

  7. Новые защитные функции ACE 10 новых функцийв ACE для защитыот современного кибершпионажа Advanced Classification Engine Новые аналитические средства ACE: Advanced Malware Payloads  Potentially Exploited Documents  Mobile Malware  Criminal Encrypted Uploads  Files Containing Passwords  Advanced Malware Command & Control  Unauthorized Mobile Marketplaces  OCR (Optical Character Recognition)  Behavioral (Drip) DLP  Geo-Location  ЗАГРУЗКА WSG Проактивный инлайн-сканер безопасности реального времени ОТПРАВКА WSG ОТПРАВКА WSGA

  8. Новые категории угроз

  9. Панель угроз (Dashboard)

  10. Сохранение копии трафика для расследования • КТОбыл скомпрометирован • КАКведет себявредоносный код • КУДАотправлялись данные • ЧТОудалось спасти от кражи

  11. Сводка по функциям (веб)

  12. IDC предсказывает развитие ниши на рынке ИБ IDC senior analyst Christine Liebert IDC press release, Jan. 31, 2012,http://www.idc.com/getdoc.jsp?containerId=prUS23290912 According to new research from International Data Corporation (IDC), this emerging predictive security market is forecast to grow from $198 million in 2009 to $905 million in 2014 as organizations struggle to keep pace. "It's becoming clear that many of these emerging threats cannot be defended against in-house, creating a shift in security posture toward being more proactive. Source: IDC, “Worldwide and U.S. Security Services Threat Intelligence, 2011-2014 Forecast: Out of the Basement and into the Clouds“, Doc #230490, November 2011

  13. Websense ThreatScope™ • Используетключевые функции ACE • Отслеживает заражение системы • Системные события и поведение • Изменения процессов, реестра, файлов • Мониторинг жизненного цикла заражения • Процесс заражения • Активность после заражения • Мониторинг коммуникаций • Сетевые коммуникации • Используемые сеансы, методы, адреса, и т.д. • Простой и понятный отчет • Обнаруженные активности, вредоносный профиль, и т.д.

  14. Пример отчета ThreatScope

  15. Что означает данное число? % • 92 Всех нежелательных писем содержат ссылки

  16. Традиционные меры противодействия угрозе - 1 1 Вечер пятницы отправлено письмо со ссылкой

  17. Традиционные меры противодействия угрозе - 2 1 2 Традиционный почтовый шлюз Вечер пятницы отправлено письмо со ссылкой Вечер пятницы Проверить ссылки по статической базе репутации

  18. Традиционные меры противодействия угрозе - 3 1 2 3 Typical Email Security Вечер пятницы отправлено письмо со ссылкой Вечер пятницы Проверить ссылки по статической базе репутации Утро понедельника Страница заражена

  19. Традиционные меры противодействия угрозе - 3 1 2 3 Typical Email Security БРЕШЬ В БЕЗОПАСНОСТИ Вечер пятницы отправлено письмо со ссылкой Вечер пятницы Проверить ссылки по статической базе репутации Утро понедельника Страница заражена

  20. Обертывание ссылок против современных угроз- 1 1 Вечер пятницы отправлено письмо со ссылкой

  21. Обертывание ссылок против современных угроз- 2 1 2 Websense Вечер пятницы отправлено письмо со ссылкой Вечер пятницы • Проверка ACE/ThreatSeeker • Сообщения с подозрительной ссылкой маркируются для обертывания

  22. Обертывание ссылок против современных угроз - 3 1 2 3 Websense Вечер пятницы отправлено письмо со ссылкой Утро понедельника Вечер пятницы Обертывание URL  Анализ по клику • Проверка ACE/ThreatSeeker • Сообщения с подозрительной ссылкой маркируются для обертывания

  23. Поведенческая DLP: анализ серии событий Обычная DLP Традиционно: Анализ 1 x 1 Малые утечки пройдут мимо сканера Поведенческая DLP Новый способ: Анализ M x N За период T Примеры: 1 запись ПДн каждый час с ПКнавеб 1-2 записи из СУБД в день

  24. Гео-локация раскрывает контекст • КТОбыл скомпрометирован • КАКведет себявредоносный код • КУДАотправлялись данные • ЧТОудалось спасти от кражи

  25. OCR для данных в движении и Discover • Оптическое распознавание текста: Восстановление текста по его графическому изображению • Конкурентное преимущество: Картинки обычно никто не проверяет Основной фокус на сканированных документах и снимках экрана Специальные алгоритмы для жестких условий производительности X OCR анализируеттекст изображения Снимок ПДн

  26. Обучаемый искусственный интеллект • Что это? Набор алгоритмов для обнаружения семантически похожего текста • Конкурентные преимущества Может различать документы, имеющие сходные наборы ключевых слов Позволяет в ряде случаев обойтись без тщательно отобранных «негативов» • Следует знать Типичное применение – отличить «свой» программный код от «чужого» (хотя язык один и тот же) Следует использовать при достаточном количестве примеров Не следует использовать, если задача решается отпечатками • Кто заказчик Крупные предприятия со сложными бизнес-процессами Слишком большие наборы документов для снятия отпечатков

  27. Поддержка новых платформ • Поддержка Endpoint MacOS • Cloud Web Client • Remote Filter Client • Data Endpoint • SIEM для всех продуктов TRITON • Syslog NG (интеграция SIEM) • ArcSight CEF

  28. Спасибо • Контакты • msemirkhanov@websense.com • dsokolov@websense.com • psavich@websense.com

More Related