ThreatSTOP

Программное обеспечение ThreatSTOP представляет собой облачный сервис защиты при помощи межсетевых экранов, блокирующий все известные IP-адреса киберпреступников и предотвращающий их коммуникацию с локальной сетью организации-заказчика. В отличие от традиционных антивирусных решений, система IT-репутации в ThreatSTOP обнаруживает и блокирует нежелательный трафик. Облачный сервис ThreatSTOP автоматически отправляет списки блокировки вредоносного ПО (троянов, червей и ботнетов) напрямую на межсетевые экраны, чтобы они могли реализовать их. Решение помогает защитить корпоративные данные от краж и утечек, позволяя использовать существующую инфраструктуру и политики безопасности без дополнительных затрат. Пользователям не нужно устанавливать какое-либо ПО или оборудование; достаточно выполнить настройку ThreatSTOP.

Преимущества SaaS-сервиса ThreatSTOP:

• Современная и эффективная защита от ботнетов.
• Предотвращение кражи данных.
• Активация блокировки уже на первом пакете данных, что уменьшает затраты на проверку до 50% – 80%.
• Повышение полезной пропускной способности сети на 10 – 25%.
• Уменьшение необходимости в получении дополнительной пропускной способности сети.
• Блокирование атак нулевого дня, обеспечение мгновенной защиты.
• Устранение необходимости формировать черные списки вручную.
• Генерация наглядной web-отчетности.

Версии для разных межсетевых экранов

Web-сервис ThreatSTOP работает практически с любым межсетевым экраном или другим устройством управления трафиком, которое может принимать решения о передаче/блокировании пакетов после просмотра DNS. Ниже представлены версии ThreatSTOP для наиболее распространенных межсетевых экранов:

• ThreatSTOP Cisco ASA – межсетевые экраны ASA не имеют преобразователя DNS, и поэтому для работы с ThreatSTOP требуется внешний скрипт. Сценарий, предоставляемый ThreatSTOP в настоящее время и написанный на языке Perl, запускается на сервере управления или на другой рабочей станции UNIX. Скрипт получает список блокировки и помещает результаты в группу сетевых объектов на межсетевом экране. Затем пользователь создает соответствующие правила блокирования трафика между этой объектной группой. Запуск скрипта на Windows не поддерживается.
• ThreatSTOP Cisco ISR – маршрутизаторы ISR не имеют преобразователя DNS, и поэтому для работы с ThreatSTOP требуется внешний скрипт. Сценарий, предоставляемый ThreatSTOP в настоящее время и написанный на языке Perl, запускается на сервере управления или на другой рабочей станции UNIX. Скрипт получает список блокировки и помещает результаты в группу сетевых объектов на маршрутизаторе. Затем пользователь создает соответствующие правила блокирования трафика между этой объектной группой. Запуск скрипта на Windows не поддерживается.
• ThreatSTOP Juniper SRX – межсетевые экраны SRX поддерживаются посредством пользовательских скриптов, запускаемых на них. Списки блокировки создаются при помощи скрипта Junos op и обновляются через скрипт события. Эти сценарии и более подробная документация доступны пользователям после создания учетной записи и настройки оборудования.
• ThreatSTOP Juniper MX – маршрутизаторы MX поддерживаются посредством пользовательских скриптов, запускаемых на них. Списки блокировки создаются при помощи скрипта Junos op и обновляются через скрипт события. Эти сценарии и более подробная документация доступны пользователям после создания учетной записи и настройки оборудования.
• ThreatSTOP CheckPoint – включает все продукты UTM/NGX. Скрипт оболочки запускается на межсетевом экране, который осуществляет просмотр DNS, создает динамический объект и добавляет к нему результаты. Затем генерируются правила для блокирования трафика между динамическим объектом. В настоящее время CheckPoin поддерживается только на UNIX-системах.

Для межсетевых экранов, не поддерживаемых ThreatSTOP напрямую, рекомендуется развертывание программных файрволлов (например, Vyatta или pfSense) в режиме моста позади этих экранов. Такой метод развертывания успешно используется многими клиентами ThreatSTOP для обнаружения и блокирования ботов в локальной сети