Обеспечение безопасности сетей в быстро меняющейся ИТ-среде и при постоянном развитии пользователей требует целого ряда сложных инструментов для проведения анализа в реальном времени. Ваша инфраструктура мониторинга может включать мониторинг производительности сети и приложений (NPM/APM), регистраторы данных и традиционные сетевые анализаторы, в то время как ваши системы защиты используют межсетевые экраны, системы защиты от вторжений (IPS), системы предотвращения утечки данных (DLP), антивирусное ПО и другие решения.
Независимо от того, насколько специализированы инструменты безопасности и мониторинга, у всех них есть две общие черты:
• Необходимо точно знать, что происходит в сети.
• Результаты анализа основаны исключительно на полученных данных.
Опрос, проведенный Ассоциацией управления предприятиями (EMA) в 2016 году, показал, что почти 30% респондентов не доверяют своим инструментам в плане получения всех необходимых данных. Это означает наличие «слепых зон» в сети мониторинга, что в конечном итоге приводит к напрасным усилиям, чрезмерным затратам и повышенному риску взлома.
Для обеспечения прозрачности необходимо избегать неэффективных инвестиций и «слепых зон» в сетевом мониторинге, что требует сбора соответствующих данных обо всем, что происходит в сети. Разветвители/сплиттеры и зеркальные порты сетевых устройств, также известные как порты SPAN, становятся точками доступа, используемыми для перехвата трафика с целью его анализа.
Это относительно «простая операция»; настоящая проблема заключается в эффективной передаче данных из сети каждому инструменту, которому они необходимы. Если у вас всего несколько сегментов сети и относительно немного инструментов анализа, их можно напрямую соединить. Однако, учитывая скорость, с которой сети продолжают масштабироваться, даже если это логически возможно, существует большая вероятность того, что такое прямое соединение создаст неразрешимую проблему управления.
По данным EMA, 35% предприятий назвали нехватку портов SPAN и разветвителей основной причиной невозможности полноценного мониторинга своих сетевых сегментов. Порты на высокопроизводительных аналитических инструментах, таких как межсетевые экраны, также могут быть дефицитными, поэтому крайне важно не перегружать оборудование и не снижать его производительность.
Зачем вам нужны сетевые пакетные брокеры?
Сетевой брокер пакетов (NPB) устанавливается между разветвителями или портами SPAN, используемыми для доступа к сетевым данным, а также к инструментам безопасности и мониторинга. Как следует из названия, основная функция сетевого брокера пакетов заключается в координации данных сетевых пакетов для обеспечения точного получения каждым инструментом анализа необходимых ему данных.
NPB добавляет все более важный уровень интеллекта, который снижает затраты и сложность, помогая вам:
Для получения более полных и точных данных, способствующих принятию более обоснованных решений.
Брокер сетевых пакетов с расширенными возможностями фильтрации используется для предоставления точных и эффективных данных для ваших инструментов мониторинга и анализа безопасности.
Более строгие меры безопасности
Когда угрозу невозможно обнаружить, остановить её сложно. NPB разработан для того, чтобы межсетевые экраны, системы предотвращения вторжений (IPS) и другие системы защиты всегда имели доступ к необходимым им данным.
Решайте проблемы быстрее
Фактически, на выявление проблемы приходится 85% времени восстановления после сбоя (MTTR). Простой означает потерю денег, а неправильное его устранение может иметь разрушительные последствия для вашего бизнеса.
Фильтрация с учетом контекста, предоставляемая NPB, помогает быстрее обнаруживать и определять первопричину проблем благодаря внедрению передовых интеллектуальных функций приложения.
Усиление инициативы
Метаданные, предоставляемые интеллектуальной системой NPB через NetFlow, также облегчают доступ к эмпирическим данным для управления использованием полосы пропускания, отслеживанием тенденций и роста, что позволяет предотвратить проблему на ранней стадии.
Более высокая окупаемость инвестиций
Smart NPB может не только агрегировать трафик с точек мониторинга, таких как коммутаторы, но и фильтровать и систематизировать данные для повышения эффективности и производительности инструментов безопасности и мониторинга. Обрабатывая только релевантный трафик, мы можем улучшить производительность инструментов, уменьшить перегрузку, минимизировать ложные срабатывания и обеспечить более широкий охват безопасности при меньшем количестве устройств.
Пять способов повысить рентабельность инвестиций в сетевые пакетные брокеры:
• Более быстрое устранение неполадок
• Более быстрое обнаружение уязвимостей
• Снижение нагрузки на инструменты обеспечения безопасности
• Продление срока службы инструментов мониторинга во время обновлений
• Упростить соблюдение требований
Что именно может сделать НПБ?
Агрегирование, фильтрация и передача данных звучат просто в теории. Но на практике интеллектуальные NPB-системы способны выполнять очень сложные функции, что приводит к экспоненциальному повышению эффективности и безопасности.
Балансировка нагрузки — одна из функций. Например, если вы модернизируете сеть вашего центра обработки данных с 1 Гбит/с до 10 Гбит/с, 40 Гбит/с или выше, NPB может замедлить скорость, чтобы выделить высокоскоростной трафик существующей группе инструментов мониторинга с низкой скоростью 1 Гбит/с или 2 Гбит/с. Это не только повышает ценность ваших текущих инвестиций в мониторинг, но и позволяет избежать дорогостоящих обновлений при миграции ИТ-инфраструктуры.
К числу других важных функций, выполняемых NPB, относятся:
Избыточные пакеты данных дедуплицируются.
Инструменты анализа и обеспечения безопасности поддерживают прием большого количества дублирующихся пакетов, пересылаемых с нескольких разветвителей. NPB может устранить дублирование, предотвращая нерациональное использование вычислительной мощности инструментами при обработке избыточных данных.
Расшифровка SSL
Шифрование Secure Socket Layer (SSL) — это стандартный метод, используемый для безопасной передачи конфиденциальной информации. Однако хакеры также могут скрывать вредоносные киберугрозы в зашифрованных пакетах.
Для анализа этих данных необходимо выполнить расшифровку, но декомпозиция кода требует значительных вычислительных мощностей. Ведущие брокеры сетевых пакетов могут переложить задачу расшифровки с инструментов безопасности на плечи пользователей, обеспечивая общую прозрачность и снижая нагрузку на дорогостоящие ресурсы.
Маскирование данных
Расшифровка SSL делает данные видимыми для любого, кто имеет доступ к инструментам безопасности и мониторинга. NPB может блокировать номера кредитных карт или номера социального страхования, защищенную медицинскую информацию (PHI) или другую конфиденциальную личную информацию (PII) до передачи данных, чтобы они не были раскрыты инструменту и его администраторам.
Удаление заголовка
NPB может удалять заголовки, такие как VLAN, VXLAN, L3VPN, поэтому инструменты, которые не могут обрабатывать эти протоколы, все еще могут получать и обрабатывать пакетные данные. Контекстно-зависимая видимость помогает обнаруживать вредоносные приложения, работающие в сети, и следы, оставленные злоумышленниками в процессе их работы в системе и сети.
Анализ приложений и угроз
Раннее обнаружение уязвимостей снижает потери конфиденциальной информации и, в конечном итоге, затраты, связанные с уязвимостями. Контекстно-ориентированная видимость, обеспечиваемая NPB, может использоваться для выявления индикаторов вторжения (IOC), определения географического местоположения векторов атаки и борьбы с криптографическими угрозами.
Интеллектуальные функции приложений выходят за рамки уровней 2–4 (модель OSI) пакетной передачи данных и достигают уровня 7 (прикладной уровень). Можно создавать и экспортировать подробные данные о поведении пользователей и приложений, а также об их местоположении, чтобы предотвратить атаки на прикладной уровень, при которых вредоносный код маскируется под обычные данные и допустимые запросы клиента.
Контекстно-зависимая видимость помогает обнаруживать вредоносные приложения, работающие в вашей сети, и следы, оставленные злоумышленниками в процессе их работы в вашей системе и сети.
Мониторинг приложений
Отображение информации о действиях приложений также оказывает существенное влияние на производительность и управление. Возможно, вам нужно знать, когда сотрудники использовали облачные сервисы, такие как Dropbox или веб-почта, для обхода политик безопасности и передачи файлов компании, или когда бывшие сотрудники пытались получить доступ к файлам, используя облачные сервисы личного хранения данных.
Преимущества НПБ
• Простота использования и управления
• Интеллектуальные решения для снижения нагрузки на команду
• Отсутствие потери пакетов — работает с расширенными функциями.
• 100% надежность
• Высокопроизводительная архитектура
Дата публикации: 20 января 2025 г.
