SPECYFIKACJA TECHNICZNA SPECYFIKACJA TECHNICZNA: Rozwiązania FortiSandbox Rozwiązania FortiSandbox Wielowarstwowa proaktywna ochrona przed zagrożeniami FortiSandbox Obecnie najbardziej zaawansowanym cyberprzestępcom coraz częściej udaje się obejść tradycyjne rozwiązania chroniące przed złośliwym kodem i wprowadzić precyzyjnie stworzone zagrożenia (Advanced Persistent Threats) głęboko w strukturę sieci. Te starannie ukierunkowane ataki obchodzą systemy wykrywania oparte na sygnaturach, natomiast ich złośliwy charakter jest maskowany na wiele sposobów poprzez kompresję, szyfrowanie lub polimorfizm, a lista tych metod stale rośnie. Niektórym z tych ataków udaje się nawet maskować w środowiskach wirtualnych typu sandbox dzięki detekcji maszyn wirtualnych, bombom czasowym oraz innym metodom. Walka z występującymi obecnie atakami wymaga wszechstronnego i zintegrowanego podejścia czegoś więcej niż zwyczajne oprogramowanie chroniące przed złośliwym kodem. Czegoś więcej niż wirtualne środowisko sandbox. Czegoś więcej niż oddzielny system monitorowania. Rozwiązanie FortiSandbox oferuje wszechstronne połączenie proaktywnego wykrywania i eliminowania zagrożeń, możliwość ich obserwowania oraz łatwe, zintegrowane wdrożenie. Podstawą tego rozwiązania jest wyjątkowe, dwuwarstwowe środowisko sandbox, którego dopełnieniem jest nagradzane oprogramowanie firmy Fortinet, chroniące przed złośliwym kodem (antymalware) oraz opcjonalna integracja z systemem FortiGuard raportującym o zagrożeniach. Wieloletnie doświadczenia firmy Fortinet w zwalczaniu zagrożeń zostały zebrane i udostępnione w postaci rozwiązania FortiSandbox. Proaktywne wykrywanie i ochrona W wirtualnym systemie operacyjnym podejrzane elementy kodu poddawane są, przed uruchomieniem, działaniu wielowarstwowych filtrów wstępnych w celu przeprowadzenia szczegółowej analizy behawioralnej. Wyjątkowo skuteczne metody filtrowania wstępnego obejmują badanie przy użyciu silnika antywirusowego, wysyłanie zapytań do baz danych zagrożeń w chmurze oraz niezależną od systemu operacyjnego symulację z użyciem emulatora kodu, po czym kod zostaje w razie potrzeby wykonany w całkowicie wirtualnym środowisku. Po wykryciu złośliwego kodu uzyskane wyniki wykorzystywane są do opracowania sygnatury na potrzeby oprogramowania chroniącego przed złośliwym oprogramowaniem oraz aktualizacji pozostałych baz danych zagrożeń. Obserwacja podejrzanych elementów Wszystkie klasyfikacje zagrożenia złośliwym kodem oraz zagrożenia oznaczane jako wysokie/ średnie/niskie przedstawiane są w obrębie intuicyjnego pulpitu nawigacyjnego. Pełne informacje o zagrożeniu uzyskane poprzez wykonanie kodu w środowisku wirtualnym w tym informacje o aktywności systemu, próbach ataków typu exploit, ruchu sieciowym, kolejnych pobraniach, próbach nawiązania połączenia i innych zdarzeniach dostępne są w postaci szczegółowych wpisów w dzienniku oraz raportów. Doskonałe połączenie proaktywnej ochrony, rozbudowanej obserwacji zagrożeń oraz pełnego raportowania. Główne zalety Bezpieczne, wirtualne środowisko uruchamiania obcego kodu, umożliwiające ujawnienie nieznanych zagrożeń Unikalne wielowarstwowe filtry wstępne, pozwalające na szybkie i skuteczne wykrywanie zagrożeń Obszerne raporty dające pełny wgląd w cykl życia zagrożenia Inspekcja wielu protokołów w ramach jednego urządzenia upraszczająca wdrożenie i obniżająca jego koszty Integracja z rozwiązaniem FortiGate usprawnia działanie infrastruktury zabezpieczeń bez powielania jej funkcji Bezpieczeństwo zweryfikowane na podstawie testów NSS BDS (Breach Detection Systems) Łatwość wdrożenia Urządzenie FortiSandbox obsługuje inspekcję wielu protokołów w ramach jednego zunifikowanego rozwiązania, dzięki czemu umożliwia uproszczenie infrastruktury sieciowej oraz jej funkcjonowania. Co więcej, integruje się z rozwiązaniem FortiGate jako dodatkowa funkcja bezpieczeństwa w istniejącej infrastrukturze zabezpieczającej. Wsparcie FortiCare na całym świecie w trybie 24x7 support.fortinet.com Usługi zabezpieczające FortiGuard www.fortiguard.com 1
OPCJE WDROŻENIA FortiSandbox jest najbardziej elastycznym spośród dostępnych na rynku urządzeń do analizy zagrożeń, ponieważ umożliwia wybór opcji wdrożenia z dostosowaniem ich do określonych konfiguracji i wymagań klientów. Organizacje mogą również korzystać równocześnie ze wszystkich trzech opcji wprowadzania danych do analizy. Wdrożenie samodzielne Ten tryb wdrożenia oparty jest na wprowadzaniu danych z portów przełącznika w trybie nasłuchu (span) i/lub przesyłaniu plików na żądanie przez administratorów przy użyciu graficznego interfejsu użytkownika. Infrastruktura tego rodzaju nadaje się najlepiej do poszerzenia funkcji zabezpieczeń w już istniejących systemach pochodzących od różnych producentów. Wprowadzanie danych w trybie sniffer Centrum danych Tryb On-Demand *Integracja z rozwiązaniami FortiGate/FortiMail Rozwiązanie FortiGate, które działa jako brama zabezpieczeń internetowych, można skonfigurować tak, by przesyłało podejrzane pliki do urządzenia FortiSandbox. Taka ścisła integracja zmniejsza złożoność sieci (w porównaniu z innymi rozwiązaniami typu sandbox) i poszerza zakres obsługiwanych aplikacji i protokołów, w tym protokołów zaszyfrowanych przy użyciu protokołu SSL, takich jak HTTPS. * Wymagania: FortiOS V5.0.4+, FortiMail V5.1+ Najnowsze aktualizacje sygnatur AV Tryb zintegrowany Główna siedziba (rdzeń infrastruktury) Wyniki analizy malware Wdrożenie rozproszone zintegrowane z rozwiązaniem FortiGate Ten tryb implementacji jest korzystny dla organizacji działających w oparciu o środowiska rozproszone, w których rozwiązania FortiGate są wdrażane w oddziałach i umożliwiają przesyłanie podejrzanych plików do centralnie usytuowanego środowiska FortiSandbox. Taka konfiguracja jest korzystna ze względu na niskie koszty eksploatacji i zapewnia ochronę przed zagrożeniami w oddalonych placówkach. Najnowsze aktualizacje sygnatur AV Tryb zintegrowany Wyniki analizy malware Wiele niezależnych biur 2 www.fortinet.com
FUNKCJE Maszyna wirtualna typu sandbox Stanowi uzupełnienie obecnie stosowanych zabezpieczeń o najnowszą funkcję analizę podejrzanych plików oraz plików wysokiego ryzyka w odrębnym środowisku zamkniętym, co umożliwia ustalenie pełnego cyklu życia ataku poprzez wykrywanie aktywności systemu oraz połączeń zwrotnych. Szczegółowy raport z analizy pliku Widżety pulpitu nawigacyjnego informacje o stanie zagrożenia w czasie rzeczywistym Narzędzia do analizy plików Uzyskane po zbadaniu plików raporty z przechwyconymi pakietami, oryginalny plik, wpis dziennika logowania i zrzut ekranu zapewniają obszerne dane oraz wskazówki dotyczące zagrożenia. Mają one przyspieszyć działania naprawcze i zaktualizowanie zabezpieczeń. Wykrywanie połączeń zwrotnych do serwerów C&C Pełny wirtualny sandbox Emulacja kodu Zapytania do chmury Silnik antywirusowy Wielowarstwowe przetwarzanie plików zapewnia zoptymalizowane wykorzystanie zasobów, co zwiększa bezpieczeństwo, zakres działania oraz wydajność Silnik antywirusowy Zapewnia najskuteczniejsze (reaktywne i proaktywne w 95%) skanowanie antywirusowe oraz służy jako skuteczny filtr wstępny Zapytania do chmury Sprawdzanie w czasie rzeczywistym najnowszych informacji dotyczących złośliwego oprogramowania Dostęp do wspólnych informacji umożliwiających natychmiastowe wykrycie złośliwego kodu Emulacja kodu Szybka symulacja działań Niezależność od systemu operacyjnego i odporność na obejście/zamaskowanie Pełny wirtualny sandbox Bezpieczne środowisko uruchamiania służące do analiz i oceny behawioralnej Pozyskiwanie pełnych informacji o cyklu życia zagrożenia Wykrywanie połączeń zwrotnych do serwerów C&C Wykrywanie głównego celu połączeń zwrotnych oraz sposobu eksfiltracji danych 3
FUNKCJE Eliminowanie zagrożeń przy użyciu rozwiązania FortiMail Wiele zaawansowanych ataków rozpoczyna się od ukierunkowanej wiadomości e-mail, która zawiera specjalne złośliwe oprogramowanie, a stosowana równocześnie inżynieria społeczna skłania użytkownika do jej otwarcia. W związku z tym organizacje rozszerzają zakres działania swoich bram zabezpieczających pocztę e-mail (z ang. Secure Email Gateway SEG) o zintegrowane rozwiązania typu sandbox. Brama SEG zatrzymuje wiadomości, które w tym czasie są poddawane dodatkowej analizie przeprowadzanej w zamkniętym środowisku, tak aby w rezultacie zastosować wobec nich odpowiednie reguły na podstawie uzyskanych wyników. Analiza CPRL oraz analiza malware w czasie rzeczywistym w środowisku sandbox, wykonywana bezpośrednio w rozwiązaniu FortiMail dla poczty przychodzącej i poczty wychodzącej. Internet Ruch pocztowy Przeanalizowane wiadomości Dane wysłane do analizy sandbox Informacje zwrotne do rozwiązania FortiMail Informacje zwrotne do rozwiązania FortiGuard Rozwiązanie FortiMail przesyła i dodaje do kolejki podejrzaną zawartość Bezpieczne wiadomości e-mail dostarczone do serwerów pocztowych. FortiSandbox dokonuje analizy i zwraca jej wyniki do FortiMaila oraz sieci FortiGuard. FUNKCJE PODSUMOWANIE Administracja Obsługa poprzez graficzny interfejs użytkownika (GUI) oraz wiersz poleceń (CLI). Tworzenie wielu kont administracyjnych Tworzenie i przywracanie kopii zapasowych pliku konfiguracyjnego Powiadamianie drogą mailową o wykryciu pliku o złośliwym charakterze Przesyłanie cotygodniowych raportów pod adresy e-mail z globalnej listy oraz do administratorów urządzeń FortiGate Scentralizowana strona wyszukiwania umożliwiająca administratorom tworzenie spersonalizowanych filtrów Częste automatyczne aktualizacje sygnatur Monitorowanie stanu maszyn wirtualnych Praca w sieci/wdrożenie Obsługa routingu statycznego Wprowadzanie plików: tryb offline/nasłuchu (sniffer), wysyłanie plików na żądanie (On-demand), przesyłanie plików ze zintegrowanych urządzeń (Integrated mode) Web API, które umożliwia użytkownikom wysłanie próbek do skanowania Możliwość symulacji sieci w celu umożliwienia skanowanemu plikowi uzyskania dostępu do zamkniętego środowiska sieciowego Integracja urządzeń: - Wprowadzanie plików (File Submission): FortiGate, FortiMail - System aktualizacji bazy danych: FortiManager - Zdalne logowanie: FortiAnalyzer, serwer Syslog ATP Wirtualny system operacyjny Sandbox: - Jednoczesne uruchomianie wielu instancji systemu Windows - Techniki eliminujące próby obejścia zabezpieczeń: połączenia typu sleep call, zapytania dotyczące procesów i rejestru - Wykrywanie połączeń zwrotnych: wybierania złośliwych adresów URL, połączeń botnetów z systemem sterowania i kontroli oraz ruchu generowanego przez atakującego przy użyciu aktywowanego złośliwego oprogramowania - Pobieranie przechwyconych pakietów, oryginalnego pliku, wpisu dziennika śledzenia i zrzutu ekranu Brak ograniczenia rozmiaru obsługiwanych plików, możliwość skonfigurowania maksymalnego rozmiaru plików Obsługiwane typy plików: - Pliki archiwum:.tar,.gz,.tar.gz,.tgz,.zip,.bz2,.tar.bz2,.bz,.tar.z,.cab,.rar,.arj - Pliki wykonywalne (np..exe,.dll), pliki PDF, dokumenty programów z pakietu Microsoft Office oraz pliki Javascript - Pliki multimedialne:.avi,.mpeg,.mp3,.mp4 Obsługiwane protokoły/aplikacje: - Tryb nasłuchu (sniffer): HTTP, FTP, POP3, IMAP, SMTP, SMB - Tryb zintegrowany z rozwiązaniem FortiGate: HTTP, SMTP, POP3, IMAP, MAPI, FTP, IM oraz odpowiadające im wersje zaszyfrowane za pomocą protokołu SSL - Tryb zintegrowany z rozwiązaniem FortiMail: SMTP, POP3, IMAP Wykrywanie zagrożeń sieciowych w trybie nasłuchu (sniffer): identyfikacja aktywności botnetów i ataków sieciowych oraz wybierania złośliwych adresów URL Opcja automatycznego przesyłania podejrzanych plików do usługi w chmurze w celu ich ręcznego przeanalizowania i stworzenia sygnatury Możliwość skanowania sieciowych udziałów SMB/NSF wraz z kwarantanną podejrzanych plików. Skanowanie może działać w oparciu o harmonogram. Możliwość przenoszenia plików na wskazany udział sieciowy celem analizy przez rozwiązania firm trzecich. Skanowanie adresów URL. Monitorowanie i raporty Widżety do monitorowania w czasie rzeczywistym (opcje przeglądania według adresu źródłowego i okresu): statystyki wyników skanowania, działania związane ze skanowaniem (w kontekście czasowym), najczęściej atakowane hosty, najczęściej występujące złośliwe oprogramowanie, adresy URL generujące najwięcej infekcji, domeny o największej liczbie połączeń zwrotnych Szczegółowy przegląd wydarzeń: dynamiczna tabela przedstawiająca działanie, nazwę złośliwego oprogramowania, ocenę, typ, źródło, cel ataku, czas wykrycia i ścieżkę pobrania Zapisywanie w dzienniku zdarzeń dostęp poprzez graficzny interfejs użytkownika, możliwość pobierania niesformatowanych plików dziennika (RAW log) Generowanie raportów dotyczących plików o złośliwym charakterze: szczegółowe raporty dotyczące charakterystyki i zachowania pliku modyfikacja pliku, zachowania związane z procesami, zachowania związane z rejestrem, zachowania związane z siecią, zrzut stanu maszyny wirtualnej Dalsza analiza: pliki do pobrania plik przykładowy (sample file), dzienniki śledzenia środowiska sandbox (tracer) i zrzut PCAP 4 www.fortinet.com
SPECYFIKACJE FSA-1000D FSA-3000D FSA-1000D FSA-3000D Sprzęt Wysokość urządzenia 2 RU 2 RU Liczba interfejsów sieciowych 6 portów GE RJ45, 2 gniazda GE SFP 4 porty GE RJ45, 2 gniazda GE SFP 2 gniazda 10 GE SFP+ Przestrzeń dyskowa 4 TB (maks. 8 TB) 8 TB (maks. 16 TB) Zasilanie 2 zasilacze 2 zasilacze System Wydajność analizy VM Sandbox (l. plików/godz.) 160 560 Skanowanie antywirusowe (l. plików/godz.) 6000 15 000 Liczba maszyn wirtualnych 8 28 Wymiary Wysokość x głębokość x długość (cale) 3,5 x 17,2 x 14,5 3,3 x 19,0 x 29,7 Wysokość x głębokość x długość (mm) 89 x 437 x 368 84 x 482 x 755 Masa 12,52 kg (27,60 funta) 32,5 kg (71,5 funta) Parametry pracy Zużycie energii (średnie/maksymalne) 115/138 W 392/614,6 W Prąd maksymalny 100 V/5 A, 240 V/3 A 110 V/10 A, 220 V/5 A Odprowadzanie ciepła 471 BTU/godz. 2131,14 BTU/godz. Źródło zasilania 100 240 V (prąd zmienny), 60 50 Hz 100 240 V (prąd zmienny), 60 50 Hz Wilgotność 5 95% bez skraplania Zakres temperatury roboczej 32 104 F (0 40 C) Zakres temperatury przechowywania -13 158 F (-25 70 C) Zgodność Certyfikaty 20 90% bez skraplania 50 95 F (10 35 C) -40 149 F (-40 65 C) FCC Część 15 Klasa A, C-Tick, VCCI, CE, BSMI, KC, UL/cUL, CB, GOST FSA-VM Wymagania sprzętowe Wspierane środowiska wirtualne Wirtualne procesory (min./maks.) Wirtualna pamięć (min./maks.) Dysk wirtualny (min./maks.) Całkowita liczba wirtualnych interfejsów sieciowych (min.) System Wydajność analizy VM Sandbox (l. plików/godz.) Skanowanie antywirusowe (l. plików/godz.) Liczba maszyn wirtualnych VMware ESXi wersja 5.0 lub nowsza 4/bez ograniczeń (Firma Fortinet zaleca, by liczba wirtualnych procesorów odpowiadała liczbie maszyn wirtualnych z systemem Windows + 4.) 8 GB/bez ograniczeń 30 GB/16 TB 6 W zależności od sprzętu W zależności od sprzętu Od 2 do 52 (rozszerzenie przy użyciu odpowiednich licencji) INFORMACJE DOTYCZĄCE ZAMAWIANIA Produkt SKU Opis FortiSandbox 1000D FSA-1000D System ATP 6 portów GE RJ45, 2 gniazda GE SFP, dodatkowy zasilacz, 6 licencji Windows XP i 2 licencje Windows 7. FortiSandbox 3000D FSA-3000D System ATP 4 porty GE RJ45, 2 gniazda GE SFP, dodatkowy zasilacz, 22 licencje Windows XP i 6 licencji Windows 7. FortiSandbox-VM FSA-VM-BASE Podstawowa licencja na urządzenie FortiSandbox-VM z możliwością rozszerzania (stackable license). W zestawie po 1 licencji na maszynę wirtualną z systemem Windows XP oraz z systemem Windows 7. Produkt FSA-VM można rozszerzyć maksymalnie do 52 maszyn wirtualnych. Akcesoria opcjonalne SKU Opis Transceiver 1 GE SFP SX FG-TRAN-SX Transceiver 1 GE SFP SX do wszystkich systemów z gniazdami SFP i SFP/SFP+. Transceiver 1 GE SFP LX FG-TRAN-LX Transceiver 1 GE SFP LX do wszystkich systemów z gniazdami SFP i SFP/SFP+. Transceiver 10 GE SFP+ krótkiego zasięgu FG-TRAN-SFP+SR Transceiver 10 GE SFP+ krótkiego zasięgu do wszystkich systemów z gniazdami SFP+ i SFP/SFP+. Transceiver 10 GE SFP+ dalekiego zasięgu FG-TRAN-SFP+LR Transceiver 10 GE SFP+ dalekiego zasięgu do wszystkich systemów z gniazdami SFP+ i SFP/SFP+. 5
Polska ul. Złota 59/6F Budynek Lumen II (6 piętro) 00-120 Warszawa Polska SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA 94086 Stany Zjednoczone Tel.: +1 408 235 7700 www.fortinet.com/sales BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: +33 4 8987 0510 BIURO SPRZEDAŻY REGION APAC 300 Beach Road 20-01 The Concourse Singapur 199555 Tel.: +65 6513 3730 BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P. 01219 Del. Alvaro Obregón México D.F. Tel.: 011 52 (55) 5524 8480 Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi firmy Fortinet, Inc. Pozostałe nazwy związane z firmą Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi i/lub zastrzeżonymi znakami towarowymi firmy Fortinet. Wszelkie inne nazwy produktów lub firm mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, zatem faktyczna wydajność może być inna. Ostateczne parametry wydajności mogą ulec zmianie pod wpływem zmiennych sieciowych, różnorodnych środowisk sieciowych i innych uwarunkowań. Żadne ze stwierdzeń zawartych w niniejszym dokumencie nie stanowi wiążącego zobowiązania ze strony firmy Fortinet, a firma Fortinet nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, z wyjątkiem sytuacji, gdy firma Fortinet zawrze wiążącą umowę z kupującym, podpisaną przez głównego radcę prawnego firmy Fortinet, w której złoży wyraźną gwarancję, że określony produkt będzie 6 www.fortinet.com działał zgodnie z wymienionymi w takim dokumencie parametrami wydajności. W celu uniknięcia niejasności dowolna tego typu gwarancja będzie ograniczona do działania w takich samych warunkach idealnych, w jakich firma Fortinet przeprowadziła wewnętrzne testy laboratoryjne. Firma Fortinet wyłącza w całości wszelkie zobowiązania, interpretacje i gwarancje związane z niniejszym dokumentem, zarówno wyraźne, jak i dorozumiane. Firma Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia i dowolnego innego korygowania niniejszej publikacji bez uprzedzenia, a obowiązywać będzie najnowsza wersja publikacji.