Одной из наиболее важных функциональных особенностей системы Proventia Network IPS является контекстный анализатор. Система мониторит и идентифицирует не зашифрованные персональные данные и другую потенциально конфиденциальную информацию. Анализатор изучает данные передаваемые через сеть с тем, чтобы выделить информацию, несущую в себе потенциальные риски, на основе 16 различных сигнатур. Система поддерживает более 10 различных протоколов, таких как различные messengers, http, irc, ftp, smb, smtp, pop3 и другие; также система способна проверять содержимое различных типов файлов: pdf, zip, gzip и другие.
Устройства Proventia используют технологию Protocol Analysis Module (PAM) для распознания и определения атак. Данный модуль анализирует сетевые протоколы и передаваемые данные. Обрабатывая полученные данные, PAM мгновенно информирует систему о происходящих событиях, подразделяя их на три категории:атака, аудит, статус.
Устройства Proventia Network IPS реализуют следующий функционал:
X-Force технология Virtual Patch protection (технология превентивной защиты, автоматически обновляющаяся и устанавливающая защитные механизмы для уязвимостей, еще до того как будет выпущен эксплоит );
Три типа работы устройства: Inline Protection (активное предотвращение вторжений, мониторинг трафика в-разрыв, блокирование атак и нежелательного трафика); Inline Simulation (имитация модели Inline Protection позволяющий отладить политики; предоставляют пассивный аллертинг, вместо блокировок); Passive Monitoring (обнаружение атак; мониторинг трафика аналогично устройству IDS, но также можно задействовать методику реагирования- блокировать), причем каждый режим можно назначить любой отдельной паре интерфейсов.
Динамические блокировки;
Поддержка правил фаервола (для блокировки или очистки соединения в случае обнаружения нежелательного трафика, правила задаются на основании интерфейсов, VLAN’ов, протоколов или IP адресов и портов отправителя/получателя);
Отклик карантина и блокировки;
Поддержка SNMP;
Технология fail-open (или fail-close)- закрывающая или открывающая прохождение трафика в случае выхода устройства из строя.
Устройства возможно использовать в режиме отказоустойчивости HA, как в режимах Active/Active, так и Active/Passive.
Система поддерживает несколько типов реакции на инцидент: log evidence (реакция при которой система записывает пакет вызвавший событие, для последующего просмотра действий злоумышленника); block (реакция по умолчанию, при которой система сбрасывает TCP сессию); ignore (одна из стандартных реакций, когда система, при обнаружении пакета, не производит никаких действий); информирование администратора по email; snmp реакция (когда на системе, при обнаружении атаки, запускаются механизмы управления по SNMP другими сетевыми устройствами); quarantine (блокировка троянов, червей и атак при их обнаружении); а также возможность задать специфическую реакцию, описанную в shell скрипте.

Proventia Network IPS реализует новейшие механизмы обнаружения и предотвращения атак, дополняя защиту сети, осуществляемую фаерволом и блокируя нежелательный трафик и сетевые атаки. Поскольку все проверки и блокировки происходят в режиме реального времени, то не происходит нарушений и прерываний легитимного трафика.

Такой метод защиты более продуктивен, нежели традиционный ответный, т.к. до выхода заплатке по той или иной уязвимости. Может пройти как несколько недель, так и несколько месяцев. Некоторые уязвимости, вроде адобовских, или майкрософтовских не устраняются по полгода, но превентивная защита нейтрализует подобные уязвимости, на уровне работы сети, не позволяя использовать эти бреши. Точно таким же образом, в свое время, компании, использовавшие решения от ISS или Check Point, получали возможность защититься от таких вредоносных вирусов как Zatob, Sasser, Blaster и Slammer. С 1990 года количество приложений на сетевых серверах увеличивается экспоненциально, и они по-прежнему содержат множество уязвимостей, и только превентивная защита, способна по-настоящему противодействовать потенциальным угрозам, предупреждая их вредоносное действие.
Самая компания ISS является одним из лидеров в области исследований и разработки решений на рынке информационной безопасности. Компания имеет свой собственный центр по исследованию и разработке решений по обеспечению безопасности IBM ISS X-Force. Специалисты центра анализируют и выстраивают корреляционные схемы угроз, исходя из данных ежедневно получаемых по каналам ISS от своих партнеров и клиентов. Постоянно ведущаяся работа, по сбору и анализу данных угроз, позволяет компании ISS предлагать своим клиентам высококачественный сервис предотвращения угроз, чье количество, в последние годы, значительно увеличивается, причем по статистике за последние несколько лет, это увеличение происходит в геометрической прогрессии. Также, дважды в год, центр X-Force выпускает подборк отчетов Risk Report, включающий в себя статистическую информацию по всем аспектам угроз информационной безопасности, как то уязвимости систем, malware, спам, фишинг, уязвимости веб-технолгий и активность кибер преступности. Эти отчеты позволяют клиентам компании составлять собственные прогнозы, а также наглядно иллюстрируют ситуацию с ростом угроз безопасности.
У компании имеется несколько основных продуктов, о которых я подробно напишу в следующий раз, а пока просто перечислю: система централизованного управления SiteProtector , система предотвращения вторжений IPS, веб-фильтр Proventia Web Filter, программно-аппаратный комплекс оценки защищенности сети Enterprise Scanner, сканер уязвимостей сети Internet Scanner, решение для защиты почтового сервиса Proventia Network Mail Security и программный почтовый фильтр Proventia Mail Filter, а также серию многофункциональных устройств по защите сети «все-в-одном» Network Multi-Function Security. Все аппаратно-программные комплексы также доступны и в виде имиджем к VMWare, полностью эмулирующих работу устройства.
Вообщем после прослушивания презентации представителя IBM, сложилось очень приятное впечатление от продуктовой линейки, особенно понравилась система управления SiteProtector, т.к. помимо управления своими комплексами, он дает возможность анализа происшествий на серверах и оборудовании различных производителей, таких как Cisco, Check Point и другие.