Обеспечение безопасности сетей в быстро меняющейся ИТ-среде и постоянном развитии пользователей требует ряда сложных инструментов для выполнения анализа в режиме реального времени. Ваша инфраструктура мониторинга может включать мониторинг производительности сети и приложений (NPM/APM), средства регистрации данных и традиционные сетевые анализаторы, а ваши системы защиты используют межсетевые экраны, системы защиты от вторжений (IPS), предотвращение утечки данных (DLP), защиту от вредоносного ПО и другие решения.
Независимо от того, насколько специализированы инструменты безопасности и мониторинга, все они имеют две общие черты:
• Необходимо точно знать, что происходит в сети
• Результаты анализа основаны только на полученных данных
Опрос, проведенный Ассоциацией управления предприятием (EMA) в 2016 году, показал, что почти 30% респондентов не доверяют своим инструментам в получении всех необходимых данных. Это означает, что в сети существуют «слепые зоны» мониторинга, что в конечном итоге приводит к бесполезным усилиям, чрезмерным затратам и более высокому риску взлома.
Для обеспечения прозрачности необходимо избегать ненужных инвестиций и слепых зон мониторинга сети, что требует сбора соответствующих данных обо всем, что происходит в сети. Сплиттеры/сплиттеры и зеркальные порты сетевых устройств, также известные как порты SPAN, становятся точками доступа, используемыми для захвата трафика для анализа.
Это относительно «простая операция»; настоящая задача состоит в том, чтобы эффективно передать данные из сети каждому инструменту, который в них нуждается. Если у вас всего несколько сегментов сети и относительно мало инструментов анализа, их можно соединить напрямую. Однако, учитывая скорость, с которой сети продолжают масштабироваться, даже если это логически возможно, существует большая вероятность того, что такое индивидуальное соединение создаст трудноразрешимый кошмар для управления.
EMA сообщило, что 35% корпоративных учреждений назвали нехватку портов SPAN и сплиттеров основной причиной, по которой они не смогли полностью контролировать свои сетевые сегменты. Портов в высокопроизводительных инструментах анализа, таких как брандмауэры, также может быть меньше, поэтому очень важно не перегружать свое оборудование и не снижать производительность.
Зачем вам нужны брокеры сетевых пакетов?
Брокер сетевых пакетов (NPB) устанавливается между сплиттером или портами SPAN, используемыми для доступа к сетевым данным, а также средствами безопасности и мониторинга. Как следует из названия, основная функция брокера сетевых пакетов заключается в следующем: координировать данные сетевых пакетов, чтобы каждый инструмент анализа точно получал необходимые ему данные.
NPB добавляет все более важный уровень аналитики, который снижает затраты и сложность, помогая вам:
Получить более полные и точные данные для лучшего принятия решений.
Брокер сетевых пакетов с расширенными возможностями фильтрации используется для предоставления точных и эффективных данных для ваших инструментов мониторинга и анализа безопасности.
Более строгая безопасность
Когда вы не можете обнаружить угрозу, ее трудно остановить. NPB предназначен для того, чтобы межсетевые экраны, IPS и другие системы защиты всегда имели доступ к именно тем данным, которые им нужны.
Решайте проблемы быстрее
Фактически, простое выявление проблемы составляет 85% MTTR. Простои означают потерю денег, и неправильное обращение с ними может иметь разрушительные последствия для вашего бизнеса.
Контекстно-зависимая фильтрация, обеспечиваемая NPB, помогает быстрее обнаружить и определить основную причину проблем за счет расширенного анализа приложений.
Повышение инициативы
Метаданные, предоставляемые интеллектуальным NPB через NetFlow, также облегчают доступ к эмпирическим данным для управления использованием полосы пропускания, тенденциями и ростом, чтобы пресечь проблему в зародыше.
Лучшая рентабельность инвестиций
Smart NPB может не только агрегировать трафик из точек мониторинга, таких как коммутаторы, но также фильтровать и сопоставлять данные для улучшения использования и производительности инструментов безопасности и мониторинга. Обрабатывая только соответствующий трафик, мы можем повысить производительность инструментов, уменьшить перегрузки, свести к минимуму ложные срабатывания и добиться большей защиты с меньшим количеством устройств.
Пять способов повысить рентабельность инвестиций с помощью брокеров сетевых пакетов:
• Более быстрое устранение неполадок
• Быстрее обнаруживайте уязвимости.
• Уменьшите нагрузку на инструменты безопасности.
• Продлить срок службы инструментов мониторинга во время обновлений.
• Упрощение соблюдения требований
Что именно может сделать НПБ?
Агрегация, фильтрация и доставка данных в теории кажутся простыми. Но на самом деле интеллектуальная NPB может выполнять очень сложные функции, что приводит к экспоненциальному повышению эффективности и безопасности.
Балансировка нагрузки трафика — одна из функций. Например, если вы модернизируете сеть своего центра обработки данных с 1 Гбит/с до 10 Гбит/с, 40 Гбит/с или выше, NPB может замедлить работу, чтобы передать высокоскоростной трафик существующей партии низкоскоростных аналитических инструментов мониторинга 1G или 2G. Это не только увеличивает окупаемость ваших текущих инвестиций в мониторинг, но и позволяет избежать дорогостоящих обновлений при миграции ИТ.
Другие мощные функции NPB включают в себя:
Избыточные пакеты данных дедуплицируются.
Инструменты анализа и безопасности поддерживают прием большого количества повторяющихся пакетов, пересылаемых с нескольких сплиттеров. NPB может устранить дублирование, чтобы инструменты не тратили вычислительную мощность при обработке избыточных данных.
SSL-расшифровка
Шифрование Secure Socket Layer (SSL) — это стандартный метод, используемый для безопасной отправки конфиденциальной информации. Однако хакеры также могут скрывать вредоносные киберугрозы в зашифрованных пакетах.
Для изучения этих данных необходимо расшифровать их, но для декомпозиции кода требуются драгоценные вычислительные мощности. Ведущие брокеры сетевых пакетов могут разгрузить инструменты безопасности по расшифровке, чтобы обеспечить общую прозрачность и одновременно снизить нагрузку на дорогостоящие ресурсы.
Маскирование данных
Расшифровка SSL делает данные видимыми для всех, у кого есть доступ к инструментам безопасности и мониторинга. NPB может заблокировать номера кредитных карт или номера социального страхования, защищенную медицинскую информацию (PHI) или другую конфиденциальную личную информацию (PII) перед передачей информации, чтобы она не раскрывалась инструменту и его администраторам.
Удаление заголовка
NPB может удалять такие заголовки, как VLAN, VXLAN, L3VPN, поэтому инструменты, которые не могут обрабатывать эти протоколы, по-прежнему могут получать и обрабатывать пакетные данные. Контекстно-зависимая видимость помогает обнаруживать вредоносные приложения, работающие в сети, и следы, оставленные злоумышленниками во время их работы в системе и сети.
Аналитика приложений и угроз
Раннее обнаружение уязвимостей снижает потери конфиденциальной информации и, в конечном итоге, затраты на уязвимость. Контекстно-зависимая видимость, обеспечиваемая NPB, может использоваться для обнаружения индикаторов вторжения (IOC), определения геолокации векторов атак и борьбы с криптографическими угрозами.
Прикладной интеллект выходит за пределы уровней 2–4 (модель OSI) пакетных данных и достигает уровня 7 (прикладной уровень). Можно создавать и экспортировать обширные данные о поведении и местонахождении пользователей и приложений для предотвращения атак на уровне приложений, когда вредоносный код маскируется под обычные данные и действительные клиентские запросы.
Контекстно-зависимая видимость помогает обнаружить вредоносные приложения, работающие в вашей сети, и следы, оставленные злоумышленниками при работе через вашу систему и сеть.
Мониторинг приложений
Видимость восприятия приложений также оказывает глубокое влияние на производительность и управление. Возможно, вы хотите знать, когда сотрудники использовали облачные службы, такие как Dropbox, или электронную почту через Интернет, чтобы обойти политики безопасности и передать файлы компании, или когда бывшие сотрудники пытались получить доступ к файлам с помощью облачных служб личного хранения.
Преимущества НПБ
• Простота использования и управления
• Интеллект, позволяющий снять нагрузку с команды
• Без потери пакетов — реализованы расширенные функции.
• 100% надежность
• Высокопроизводительная архитектура.
Время публикации: 20 января 2025 г.
