Широкое применение технологий виртуализации, приложений для совместной работы и использование внутренних и публичных социальных сетей для нужд организации привело к тому, что потоки сетевого трафика стали слабо предсказуемыми. Как следствие, отражение угроз стало сложнее, а успешные атаки и утечки данных гораздо труднее обнаружить, особенно в территориально-распределенной сети.
В настоящее время сложно представить организацию, в которой не применяются самые базовые меры обеспечения информационной безопасности, такие как контроль потоков сетевого трафика в точке сопряжения с внешними сетями. К ним относятся средства защиты и контроля периметра, например, межсетевые экраны, системы обнаружения и предотвращения вторжений (Intrusion Prevention Systems, IPS). Во многих сетях используются и более продвинутые системы – например, контроль утечек данных (Data Loss Prevention, DLP). Часто встречается внедрение межсетевых экранов и IPS не только на периметре, но и внутри сети – например, для защиты серверных сегментов.
Традиционные межсетевые экраны фильтруют сетевые взаимодействия на уровне IP-адресов и протоколов сетевого и транспортного уровня модели OSI. Многие IPS-системы используют для контроля сетевых атак сигнатурные методы обнаружения вредоносной активности, одним из недостатков которых является значительная вероятность ошибок второго рода (false negatives) – т.е. IPS не обнаруживает атаку, для которой в базе нет соответствующей сигнатуры. Системы DLP также используют сигнатурные методы, хотя и на более высоком уровне модели OSI – цифровые отпечатки документов, и таким образом имеют аналогичные недостатки.
Применение статистических методов анализа – т.е. контроль аномалий трафика, в рамках устройств, выполняющих функции межсетевого экрана и/или IPS, не очень эффективно в силу ограниченности их ресурсов для полноценного, например, в масштабах дня или недели, сбора статистических данных о сетевом трафике.
Не секрет, что достаточно давно существуют методы обеспечения безопасности на уровне доступа ЛВС, такие как:
Современные решения, такие как система Cisco Identity Services Engine (ISE), имеют возможность использовать для анализа данные о контексте подключения к ЛВС, предоставляя ответы на вопросы:
Однако, как показывает практика, они не обеспечивают достаточный уровень контроля при постоянно меняющихся условиях.
Как следствие, существует весьма значительное количество потоков трафика, которые либо не контролируются имеющимися средствами, либо проходят через них, не вызывая подозрений, хотя несут угрозу IT-ресурсам организации.
К упомянутым потокам можно отнести такие сетевые взаимодействия, как:
Общим свойством для указанных «неконтролируемых» потоков является то, что они проходят через активное сетевое оборудование ЛВС и распределенной сети – коммутаторы и маршрутизаторы.
Решением, позволяющим эффективно собирать, анализировать и использовать статистические данные о потоках сетевого трафика, является система Cisco Cyber Threat Defense. Принцип работы системы следующий: с помощью сенсоров собираются статистические данные о потоках трафика, которые по протоколу NetFlow передаются с активного сетевого оборудования модулю анализа, и на основе собранных данных строится профиль сетевой активности для каждого внутреннего хоста. В случае обнаружения отклонений от «нормального» профиля выполняется дополнительный анализ сетевых взаимодействий на предмет комплексных вредоносных активностей, таких как распространение «червей» или DDoS-атака, и осуществляется оповещение IT- и ИБ-администраторов.
Архитектура решения эффективно сочетает следующие элементы:
Как можно заметить, традиционно компания Сisco Systems предлагает владельцам своего оборудования стратегический подход на сохранение ранее сделанных вложений. Этот подход прослеживается и в решении Cisco Cyber Threat Defense: основные инфраструктурные элементы сбора и отправки данных о трафике по протоколу NetFlow в значительной мере уже имеются в сети – это маршрутизаторы и коммутаторы. Межсетевые экраны Cisco ASA также пользуются популярностью и поддерживают передачу информации о сетевой активности по протоколу NSEL (Netflow Secure Event Logging). Многие организации уже приступили или имеют планы по внедрению современного решения контроля доступа к ЛВС на базе системы Cisco ISE.
Что же кроется за модулем анализа, увязывающим воедино вышеперечисленные элементы решения, уже имеющиеся в компании?
Система StealthWatch включает в себя следующие компоненты:
Внедрение системы происходит достаточно безболезненно, т.к. она не нарушает существующей конфигурации сети и через нее не проходят потоки трафика. Для любой системы сбора и анализа статистики необходимо первичное накопление информации, на основе которой формируется базовый профиль сетевой активности для каждого хоста с обязательным учетом его типа – веб-сервер или принтер получат различные профили. В результате внедрения администратор приобретает возможность получить сводную информацию по многим вопросам, в том числе:
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных