Организации практически всех отраслей все больше укрепляют свою сетевую безопасность, чтобы получить преимущество в оперативном обнаружении аномалий и адекватном реагировании. При выборе решений для обнаружения сетевых угроз и реагирования на них возникает ключевой вопрос: «Где мы должны перехватывать трафик, чтобы добиться полной видимости?»
Системы сетевого обнаружения и реагирования, системы сетевого мониторинга работают с необработанными сетевыми пакетами, чтобы провести их анализ и обнаружить любые аномалии в сети. Поэтому, естественно, получение нужных сетевых данных в критических точках инфраструктуры – это первый вопрос, на который необходимо ответить.
В организации существует множество путей, по которым пакеты проходят и пересекают сеть как внутри, так и вне инфраструктуры. Эти данные могут представлять собой трафик пользователей, обращающихся к внешним сервисам, не размещенным в инфраструктуре, данные пользователей, обращающихся к размещенным в инфраструктуре сервисам, обмен данными между пользователями или данные, передаваемые между сервисами в инфраструктуре.
Первый и самый важный трафик почти во всех организациях, с которыми мы работали, – это так называемый трафик «север-юг». Это данные, которые покидают так называемый инфраструктурный периметр и направляются к сервисам, размещенным либо в облачной инфраструктуре, либо в Интернете. Поскольку эти данные проходят через пропускной пункт сети, наличие видимости такого трафика становится очень важным, так как вредоносный трафик может быть отправлен извне сети внутрь. Злоумышленники пытаются получить доступ внутрь сети, сканируют сеть; вредоносные программы, программы-вымогатели и другие цвета в спектре аномалий пытаются завладеть сетью извне, если только вредоносный агент уже не сидит внутри сети.
Чтобы получить доступ к этим данным, необходимо перехватывать пакеты в непосредственной близости от точки существования сети. Эта критическая точка может находиться на коммутаторе ядра, между ядром и внешними брандмауэрами или между коммутатором ядра и уровнем распределения. Одним из способов перехвата такого трафика со 100-процентной гарантией является использование специализированного решения TAP (Terminal access point). TAP-решения – это специализированные аппаратные и программные решения, которые перехватывают как отправляемый, так и получаемый трафик на канале связи, например пассивный ответвитель 3255 компании Niagara Networks. Использование решения TAP обеспечивает постоянный захват трафика на каналах связи и отсутствие «слепых зон» в решениях по обнаружению и реагированию на сетевые угрозы, в результате чего аналитики по безопасности остаются недовольными и без ответов.
После перехвата трафика с севера на юг вторым шагом должно стать получение видимости трафика, идущего от пользователей к сервисам, размещенным внутри инфраструктуры, или между пользователями. Часто злоумышленник пытается получить доступ к сервису внутри инфраструктуры и переключиться с этого скомпрометированного сервиса на другие сервисы или внутренних пользователей, или наоборот. Получение полной видимости такого трафика позволит системам сетевой безопасности получить представление о взаимодействии пользователей и сервисов и отслеживать любые нежелательные действия.
Точки захвата данных могут находиться на границе между сегментацией пользователей и сервисами для связи «пользователь-машина» и на уровне распределения для связи «пользователь-пользователь». На таких границах можно разместить пассивные ответвители Niagara networks 3225 для захвата трафика пользователь-сервис и получения полной видимости.
Третий уровень взаимодействия – это взаимодействие между сервисами или приложениями, которое необходимо отслеживать. Когда один сервис или приложение оказываются скомпрометированными, второй план действий злоумышленника становится поворотным. А при использовании виртуализированных сервисов связь между машинами часто не покидает физических границ серверного оборудования.
Чтобы получить видимость такой микросервисной среды, можно использовать программное решение для прослушивания (VTAP), например Niagara Networks CloudRay, для обеспечения видимости приложений. VTAP – это легкие виртуальные машины/агенты, которые перехватывают трафик в виртуальной среде и обеспечивают полную видимость межмашинного взаимодействия.
Услуги, размещаемые за пределами инфраструктуры в публичной облачной инфраструктуре, представляют собой еще одну критически важную область, которую необходимо контролировать. Некоторые поставщики «облачных» сервисов обеспечивают определенную видимость трафика, входящего и исходящего из этих инфраструктур, но зачастую организациям сложно увязать их с собственными решениями по обеспечению безопасности и мониторингу сети. Использование специального виртуального ответвителя, такого как Niagara Networks CloudRay, помогает организациям перехватывать 100% необработанных пакетов данных и передавать их существующим решениям для мониторинга сетевой безопасности, обеспечивая тем самым полную видимость.
Просмотр только одного типа данных дает весьма смутное представление о том, что происходит внутри инфраструктуры как в частном центре обработки данных, так и в публичном облаке. Надежная видимость и безопасность сети требуют тщательного планирования захвата данных, проходящих через сеть. Это гарантирует, что аналитик безопасности будет иметь полное представление об инфраструктуре, а системы мониторинга сетевой безопасности смогут правильно контекстуализировать информацию и предоставлять соответствующие тенденции поведения.
Резюме: Решение TAP от Niagara Networks – гибкое и многоцелевое предложение для критически важных точек захвата и полной видимости сети
Компания Niagara Networks является отраслевым специалистом в области сетевой видимости, предоставляя передовые сетевые решения для конкретных нужд отдельных предприятий и крупных и сложных национальных сетей.
Источник: Why You’re Missing Threats: Critical Capture Points for Complete Network Visibility
