Согласно докладу компании Verizon (Verizon Data Breach Investigations Report), 14% всех нарушений совершают инсайдеры. Кроме того, там же сказано, что в 76% проанализированных компанией нарушениях использовались ворованные или легко угадываемые данные аутентификации, которые позволяют получить доступ в сеть, и в 29% - использовались методы социальной инженерии. Это делает инсайдеров ключевой проблемой, с которой сталкивается сетевая безопасность.

Сетевая визуализация
В то время, как превентивные технологии безопасности и опыт применения, такой как защита периметра, контроль доступа, шифрование данных и обучение пользователей, и могут хорошо работать, но они не срабатывают при инсайдерских угрозах. Подобная защита не срабатывает против угроз, когда преступники уже имеют привилегированный доступ в сеть и им не надо использовать вредоносный код или специализированное ПО для осуществления атаки. Чаще всего единственным реальным методом идентификации и предотвращения подобного нарушения является система полной визуализации того, что происходит внутри сети. Получение полного аудита всей сетевой активности позволяет организации быстро обнаружить аномальное поведение, которое может сигнализировать о возникновении риска.
Различные технологии, такие как файервол, SIEM, IDS/IPS, захват пакетов и NetFlow могут фиксировать сетевую активность для получения знания того, что происходит в сети. Конечно существуют различия в этих технологиях и очень важно рассматривать преимущества и недостатки каждого подхода.

Преимущества NetFlow
Как показано на рисунке ниже, NetFlow обеспечивает очень обширный, эффективный с точки зрения стоимости и легкий метод получения полной картины сетевой активности. NetFlow позволяет взглянуть на все транзакции, происходящие в сети, и быстро обнаружить подозрительную активность, такую как email с большими приложенными файлами, отсылаемые в посторонние адреса или необычно большой трафик на принтер (что свидетельствует о воровстве данных или инфильтрации).

Если использовать новейшие технологии типа Lancope’s StealthWatch System, NetFlow-мониторинг может также обеспечить дополнительные возможности анализа контекста, включая получение информации об устройствах, приложениях и идентичности, с целью дополнительного анализа и быстрой реакции на инциденты. Lancope также объявила о новой мониторинговой функциональности с акцентом на пользователей, которая позволяет администраторам исследовать поведение сети и аномалии, с учетом конкретных имен пользователей.


Лучший способ обнаружения и предотвращения инсайдерских угроз - это иметь возможность глубокого обзора внутренней среды и использования инструментов фильтрации и приоритезации в массивных объемах данных для точного анализа. В этом главная цель и преимущества StealthWatch. Хотя только технологией невозможно решить проблему инсайдерских угроз (тут должны быть совместные усилия подразделений IT, HR и юристов), NetFlow может обеспечить решение ключевой части этой проблемы.

Компания Verizon недавно опубликовала свой очередной и очень востребованный отчет  Data Breach Investigations Report. Этот документ, который включает в себя анализ более 47 тыс. известных инцидентов в области безопасности и 621 подтвержденных случаев утечек данных, содержит в себе очень интересную статистику и показывает тренды, связанные с кибер-безопасностью. Что наиболее важно, он указывает на факт, что системы реагирования на инциденты и обеспечения сетевого надзора должны играть значительно большую роль в стратегии безопасности организаций. Компания Lancope проанализировала этот документ.

Инсайдерские угрозы и APT (Advanced Persistent Threats)

Отчет говорит о том, что 14% нарушений были совершены инсайдерами и 19% были связаны с группировками, спонсируемыми государствами. Эти два типа атак наиболее трудно обнаружить обычными системами контроля безопасности на уровне периметра или базирующихся на анализе сигнатур. Инсайдеры уже имеют разрешенный доступ к сети и им не требуется проходить любые традиционные средства защиты, чтобы  начать воровать информацию или вредить вашей инфраструктуре. В свою очередь преступники второго типа (которые, в основном, ответственны за APT) известны тем, что создают специальные скрытные методы для проникновения за периметр внутрь сети без использования ПО, которое может быть обнаружено обычными средствами защиты. И действительно 76% проникновений, проанализированных Verizon, использовали украденные или легко определяемые аутентификационные данные для получения доступа в сеть, а 29% использовали тактику социальной инженерии. Кроме того, более 95% спонсируемых государствами фактов кибер-шпионажа использовали фишинг как средство инфильтрации в целевую систему. Единственный метод защиты от таких,  все чаще встречающихся, атак (инсайдеры и APT) - это знать, что происходит в вашей сети и быть способным определить подозрительное поведение, которое может повысить риск.

Значение отклика на инциденты

Как сказано в отчете Verizon, "предотвращение атаки очень важно, и мы всегда будем обращать внимание на эту цель. Но мы должны принять тот факт, что нет непреодолимых барьеров и обнаружение инцидентов и реакция на них является сегодня важнейшей линией обороны".
Verizon также отдельно отмечает NetFlow, как "очень полезный ресурс для исследований". Путем сбора и анализа NetFlow и других типов потоковых данных, Lancope StealthWatch, в частности, позволяет получить полную картину сетевой активности для обнаружения угроз из-за инсайдеров в сети, а также проводить аналитические исследования для того, чтобы не допустить скрытых современных атак.

Обеспечение прозрачности сети - это ключ к сохранению безопасности

Forrester, в свою очередь, также указал на этот пункт в своем анализе отчета Verizon, называя провайдеров систем обеспечения сетевой прозрачности, таких как Lancope, ключевым компонентом в идентификации большинства звеньев сложных "убийственных цепочек", создаваемых кибернетическими преступниками. Аналитик Forrester Рик Холланд указывает, что "анализ трафика и обеспечение прозрачности всех процессов должны быть внедрены в вашей сетевой среде. Когда подводит превентивный контроль, и мы знаем, что это наверняка произойдет, нам необходима сильная система исследования сети. Такие решения способны обнаруживать факты передачи, выполнения команд и контроля вашей инфраструктурой, также как и факт инфильтрации". Здесь он упоминает несколько производителей, включая Lancope, которые работают в этом направлении.
В целом, отчет Verizon - это очень ценный документ для любой организации. Учитывая, что 66% нарушений продолжались в течение месяцев и даже больше того, прежде чем они были обнаружены (согласно отчету), он еще раз подчеркивает важный факт, что существующее состояние систем защиты уже не может обеспечить сетевую безопасность в наши дни. Подразделение безопасности должно играть более активную роль в защите сети, внедряя такие инструменты, как мониторинг на базе потоковых технологий, который обеспечивает полную прозрачность сети и предоставляет данные для анализа безопасности.

Дополнительную информацию о том, как использовать NetFlow для противодействия современным кибер-угрозам, можно получить в документе компании Lancope "Internal Network Visibility for APTs and Insider Threats".

Источник: http://web-control.livejournal.com/25748.html

Распределенные атаки типа "отказ от обслуживания" (distributed denial-of-service, DDoS) впервые появились в новостях в декабре 1999 года; и этот случай был связан с системой trin00, основанной на использовании ботнета. Эти атаки сегодня эволюционируют, но принцип остался прежним: сотни и тысячи географически распределенных хостов начинают бомбардировать пустыми запросами сервера, после чего последние начинают испытывать перегрузку и не могут своевременно обрабатывать легитимные запросы. Все это время производители пытаются разработать продукты, которые эффективно противостоят DDoS.

Проблемы обороны от DDoS

Защититься от DDoS сложно по следующим трем основным причинам.

• Врожденные уязвимости сети
  Во-первых, в этом случае нет уязвимостей сети, которая используется преступниками. Атака успешна потому, что в природе всех компьютерных платформ существует некий порог доставки. Компьютеры, кластеры или облачные системы - все они имеют физические ограничения по количеству запросов, которые они могут обрабатывать в заданное время. Успешная атака DDoS должно просто генерировать достаточное количество трафика, чтобы превысить это пороговое значение. Большая часть других атак может быть отражена путем использования специальных патчей, конфигурацией систем безопасности или изменение политик. Но ни один из этих подходов не поможет противостоять DDoS. Службы должны быть всегда доступны и, значит, уязвимы для атак.
• Невозможность заблокировать толпу
  DDoS очень сложно заблокировать, поскольку существует очень много источников атаки. Очень трудно обеспечить эффективную блокировку длинного списка атакующих IP-адресов. Потенциально тысячи адресов должны быть временно добавлены в черный список для того, чтобы остановить атаку. Если атакующий использует метод, прикрывающий атаку вполне легитимными хостами (spoofing), то в черный список могут попасть и невинные хосты.

• Поиск виновных
  Тут мы сталкиваемся с третьей проблемой: очень сложно определить, какие пользователи делают вполне законные запросы, а какие участвуют в DDoS. Поскольку все компьютеры, получающие доступ к услугам, создают нагрузку на сервер, то они все и участвуют в атаке, даже не зная об этом. Нужна очень аккуратная проверка, чтобы определить, какие клиентские хосты "хорошие", а какие "плохие". Нужно сделать много расчетов и сделать их быстро, прежде чем будут приняты какие-либо решения.

Когда все меры не помогают

Современные DDoS-атаки заставили специалистов задуматься, почему их обычные механизмы предотвращения таких атак не работают. Суть в том, какой бы механизм защиты не использовался, если у атакующих есть масса времени для его исследования, то он будет преодолен.
Сейчас преступники стали лучше финансироваться и создают более сложные инструменты атак, чем раньше. Они могут купить точно такие же механизмы защиты, которые используются внутри корпорация, и начать разрабатывать методику для их преодоления. Распределенные каналы и ботнеты позволяют очень быстро начать такую продвинутую DDoS-атаку. Роль постоянного наблюдения за поведением сети становится в этих условиях особенно критичной, когда понимаешь, как атакующие проводят свои атаки.
Сетевое обнаружение аномалий
Подобных систем не так уж и много на рынке, и одной из наиболее продвинутых является Lancope StealthWatch. Это устройство создает "снимок" (базовую отметку) нормального трафика для каждого сетевого хоста, группы хостов и определяет взаимоотношения между хостами. Подобный подход позволяет StealthWatch сигнализировать при следующих условиях, ассоциирующихся с DDoS:

• Высокий индекс мишени. Каждому хосту присваивается значение, соответствующее уровню подозрительной активности, которая направлена на него. Это позволяет получить список приоритетных активов, которые находятся в максимальной опасности.


• Время отклика сервера. Используя устройства FlowSensor и FlowSensor VE, система StealthWatch может сигнализировать, когда веб-сервер или сервер баз данных начинает захлебываться.


• Количество пакетов в секунду. StealthWatch может отображать чрезмерное количество трафика, направленное на сетевые ресурсы.


• Закупорка интерфейса. Метрики уровня производительности интерфейса постоянно контролируются, обеспечивая просмотр атаки на физическом уровне.


• Максимальное количество обслуживаемых потоков. Каждый сервер создает базовые параметры нормального объема соединений. Когда этот порог преодолевается, оператор StealthWatch получает соответствующий сигнал.


• Максимальное количество получаемых SYN. Когда сервер начинает получать "нездоровое" количество пакетов TCP SYN, можно использовать раннее предупреждение об этом.


• Высокий общий трафик взаимосвязей. Когда создается такое количество HTTP-запросов, которое превышает возможности сервера баз данных, то появляется сигнал о несоответствии взаимного количества запросов-ответов, показывающий проблемы на таком уровне, на котором другие системы борьбы с DDoS не работают.


• Активность нового хоста. Легитимные пользователи веб-сервисов имеют тенденцию к регулярности своих визитов. Атакующие хосты не имеют привычки задерживаться или возвращаться на "место преступления". StealthWatch может различать эти два типа пользователей.


• High Concern Index. Это собственная методика Lancope, которая заключается в том, что такой индекс (показатель) опасности позволяет определять приоритет подозрительной или аномальной активности, проистекающей от хоста. Внешние "агрессоры" вызывают появления сигнала от High Concern Index, когда компьютеры, к которым они хотят подключиться, будут иметь низкий индекс.


• Максимальное количество инициируемых потоков. Зная количество потоков в минуту, которое создает легитимный пользователь при доступе к сервису, StealthWatch будет сигнализировать о хостах, которые будут показывать превышение такой нормы.

Заключение

DDoS - это один из видов атак, которые организация может обнаружить, даже не имея соответствующей сетевой системы наблюдения за трафиком. Но без надежного и интеллектуального мониторинга сети практически невозможно противостоять такому событию. DDoS - это тот тип атак, который все еще продолжает наносить вред компаниям и организациям. Продолжающаяся эволюция инструментов DDoS и широкое распространение этих угроз среди хакеров и компьютеров в масштабных ботнетах требует использования не только решений, способных уменьшить их воздействие, но и решений, обеспечивающих визуализацию сети, что, в свою очередь, облегчает пробраться через туман, который поднимается при атаке класса "отказ от обслуживания".

Недавно был опубликован очередной Магический квадрант аналитической компании Gartner, на этот раз посвященный современным корпоративным файерволам. В связи с резким ростом числа сложных сетевых угроз многие компании теперь по другому смотрят на эти устройства. В последнем Магическом квадранте компании Gartner эти изменения видны невооруженным взглядом.

Интересно, что четыре из пяти производителей файерволов из верхней половины квадранта поддерживают экспорт NetFlow или IPFIX (Check Point, Cisco, Juniper и Palo Alto Networks). Некоторые производители из нижней части квадранта, такие как Barracuda, Dell-SonicWALL и Sophos также поддерживают эти технологии. Т.е. функциональность файеволов главных мировых производителей существенно изменилась.
Напомним, что недавно компания Gartner утверждала, что при организации защиты сети анализ потоков должен занимать 80% времени, а захват пакетов пробами (зондами) - только 20%. Поскольку большинство файерволов первоначально фокусировались на защите сети от внешних соединений, технология сбора потоковой информации может использоваться для контроля внутренних соединений, а также ряда параметров, создаваемых хостами. Это, согласно докладу аналитиков Mandiant, особенно важно, когда пытаешься обнаружить современные продвинутые угрозы (advanced persistent threats, APT). 
Поскольку данные NetFlow и IPFIX потоков представляют 100% коммуникаций, они могут также использоваться  и для сравнения IP-адресов с базой IP-репутации для проверки коммуникаций с уже известными скомпрометированными хостами. Этот процесс контроля не может быть надежно применен с использованием экспорта sFlow, как это сделано в Fortinet. Это к вопросу о давнем споре о том, что лучше - sFlow или NetFlow. "Единственные люди, которые говорят, что sFlow лучше, чем NetFlow, это те, кто не использовал и то, и другое и не смог увидеть разницы, - утверждает бывший технический директор (CTO) компании Lancope Адам Пауэрс (Adam Powers). - Война sFlow с NetFlow уже давно не ведется".
Сбор потоков с файерволов, маршрутизаторов и коммутаторов также обеспечивает уверенность, что история всех коммуникаций, как извне, так и внутри вашей сети будет сохранена. Даже, если ваша защита будет преодолена, потоковые данные позволят получить информацию, с кем коммуницировали зараженные хосты, а также другие важные данные, такие как имена пользователей, URL, адреса email и многое другое.

Согласно декабрьскому (2012 г.) отчету Gartner примерно 85% случаев нарушения безопасности прошли полностью незамеченными в корпоративных сетях. Процент кажется завышенным, но дальнейшая статистика объясняют, почему это так. Среди инцидентов, которые были обнаружены, 92% событий не были замечены пострадавшими организациями. Они были выявлены сторонними лицами, в частности, репортерами или при вымогательствах, которыми занимались сами атакующие.

 

История систем наблюдения за сетью

Хакеры-тяжеловесы против защитников в весе пера

 

Сбалансированная безопасность

 

Учиться у систем физической безопасности

 

Что вы имеете в виду, говоря, что меня ограбили?

 

Самооценка

• Какой объем P2P- или Onion Routing-трафика крутится в моей сети?
• Какие хосты в моей сети подключены к известным серверам бот-сетей?
• Какие пользователи моей сети пытаются получать доступ к информации, которой они не должны интересоваться?
• Сколько информации покидает мою сеть и передается в сети конкурентов?

 

Проверка исполнения правил

 

Информированная реакция

 

Ищите странности

 

Заключение

Угрозы инсайдеров становятся все более серьезными. За последние несколько лет мы видим постоянный поток сообщений об инцидентах, связанных с нарушением своих обязательств и прав авторизованными пользователями, которые намеренно саботируют свою компанию и передают информацию конкурентам. Одновременно изменяется и бизнес-среда, которая все больше полагается на аутсорсинг, подрядные компании и сторонние технологические платформы, что приводит к тому, что ценная бизнес-информация становится доступной все большему количеству людей. В случае инсайдерских утечек контроль доступа и защита периметра не помогут, вредитель уже находится внутри периметра. Нужно что-то другое...
Вот пять шагов, которые необходимо предпринять для противодействия подобным угрозам:

• Разработать детальный процесс закрытия доступа в сеть сотруднику. Это кажется простым и очевидным вопросом, но множество организаций имеют "дыры" в этом процессе, что мешает закрыть определенные аккаунты или обнаружить и "обрубить" активное соединение в то время, когда сотрудник покидает организацию.
• Создать систему "сдержек и противовесов" для системных и сетевых администраторов. Административный доступ ко всем системам и устройствам следует предоставить более, чем одному человеку, но необходимо исключить совместное использование одних и тех же логинов и паролей, поскольку совместно используемый аккаунт сложно контролировать и аннулировать.
• Работать совместно с руководителями для идентификации недовольных сотрудников. IT-мониторинг и обнаружение нарушений должны рассматриваться как "воздушная поддержка" для усилий менеджмента "на земле" по идентификации людей, кто чем-то недоволен или уже занимается мошенничеством. Неправильное использование компьютерных ресурсов очень часто может быть связано с другим "странным" поведением на работе.
• Обратить внимание на аудит доступа к системам и сетевую активность перед увольнением сотрудника. Большая часть активности инсайдеров происходит в то время, когда сотрудник находится уже на пороге увольнения, и эта активность часто определяется путем проверки информации логов, включая традиционный Syslog, а также NetFlow и другие аналогичные технологии.
• IT не должны решать проблемы инсайдерских угроз в одиночку. Это междепартаментная проблема, которая требует взаимодействия между IT, HR, юристами и управлением компании. Только так можно идентифицировать "потенциально опасных" сотрудников, не нарушая при этом права людей на приватность.

С точки зрения технологий единственный путь предотвращения такого рода атак, это иметь возможность "видеть", что инсайдеры делают в сети, т.е. контролировать нестандартное сетевое поведение. Такое, как необычно большой объем передачи данных или попытки доступа в зоны ограниченного доступа. Более подробную информацию на эту тему можно получить здесь: http://www.lancope.com/solutions/security-operations/.

• Возможность подробного просмотра приложений и операций. PacketShaper теперь может классифицировать веб- и мобильные приложения, приложения на базе мобильных браузеров, а также их операции, позволяя получать детальный анализ потребления трафика предприятия.
• Контроль на уровне групп и пользователей. Система теперь позволяет устанавливать расширенные политики на уровне групп и отдельных пользователей, обеспечивая тем самым квалифицированный контроль оказания услуг по обеспечению доступа к веб- и облачным приложениям.
• Возможность агрегированного просмотра активности пользователя. Новые функции позволяют получить объединенный обзор всей активности пользователей, с учетом всех устройств, которые они используют для доступа в сеть, что позволяет IT-специалистам более точно контролировать качество сервиса.

Теперь PacketShaper позволяет IT-подразделению:

• Лучше понимать, как пользователи, приложения и их операции используют полосу пропускания.
• Приоритезировать и гарантировать полосу пропускания для операций критичных для бизнеса приложений на уровне целевых групп или отдельных пользователей.
• Идентифицировать и применять специальные правила по использованию несанкционированных приложений.

Нижеуказанные данные являются результатом анализа десятков внедрений аналогичных систем и разговоров с сотнями клиентов. В итоге мы смогли выделить 5 ключевых параметров, позволяющих успешно внедрить систему контроля сети с использованием NetFlow:
5) Масштабируемость. Хотя в большинстве сетей наших заказчиков не посылается более, чем 20К потоков в секунду со всех коммутаторов и маршрутизаторов, скорость сбора данных очень важна. В ближайшем будущем оборудование будет пересылать еще больше детальных данных в формате NetFlow и IPFIX и, следовательно, коллекторы начнут сталкиваться с удвоенным и утроенным объемом потоков. Поэтому, как минимум, выбирайте производителя решения, которое сможет быть масштабировано до уровня выше 100К потоков в секунду на одно устройство. С такими возможностями по емкости вы сможете масштабироваться до миллионов, используя распределенную среду сбора NetFlow.
4) Обнаружение сетевых угроз. Файерволы и системы защиты от вторжений (Intrusion Protection Systems, IPS) являются первой линией защиты от вредоносного сетевого ПО, но они не справляются со внутренними угрозами. Модель безопасности класса Zero-Trust требует постоянного мониторинга malware, которое уже проникло внутрь сети. Такие системы отслеживают странное поведение потоков за минуты для каждого хоста в сети. Они сравнивают IP-адреса со списками Internet Reputation и сигнализируют в случае превышения индекса репутации или при повышенном росте трафика для какого-либо хоста.
3) Расследование. Идентификация угрозы почти всегда требует продолжить исследования. Способность определения, где вредоносное ПО проникло в вашу сеть, как оно это сделало, кто при этом входил в сеть и когда это произошло, требует самой лучшей специализированной фильтрации трафика и широких возможностей построения отчетов. В большинстве случаев, когда мы очищаем систему от вредоносного ПО, нам необходимо знать, кто еще может быть задействован. Поиск по базе данных устройств, замеченных в аналогичном аномальном поведении трафика, должен быть быстрым, масштабируемым и способным просматривать данные за значительный прошлый период времени.
2) Корреляция потоков и логов. Отчетность на основе NetFlow И IPFIX существенно обогащается, когда данные могут коррелироваться с информацией от syslogs или машинных логов. Если syslog сообщает об угрозе или запрещенном соединении, мы можем получить IP-адрес или протокол, отследить данные потока и определить, кто или что участвовали в это время в событии. Граница между данными потоков и логами уменьшается и среднее время обнаружения (Mean Time To Know, MTTK) часто укорачивается, когда такие детали, как посещенный URL, доступны через один интерфейс.
1) Контекстные детали. Этот функционал только начинает предлагаться в NetFlow- или IPFIX-решениях следующего поколения. Контекстные данные еще более расширяют возможности корреляции логов и потоков, добавляя такие много говорящие детали, как имя пользователя, операционная система, которые раньше можно было найти только в некоторых логах или базах данных. Enterasys Mobile IAM и Cisco ISE собирают эти детали и могут быть настроены для совместного использования этой информации с системами анализа и отчетности на базе потоковых технологий, таких как StealthWatch. Учитывая растущий интерес к контролю трафика мобильных систем (BYOD), надо полагать, что этот список будет расширяться.

Компания Blue Coat, ведущий мировой производитель решений для обеспечения безопасности Интернет-коммуникаций, на днях объявила о заключении соглашения о покупке Crossbeam Systems, разработчика разработчика высокопроизводительной и масштабируемой платформы сетевой безопасности. Подобный союз позволит двум лидерам рынка объединить свои дополняющие друг друга технологии для обеспечения безопасности крупнейших и наиболее сложных сетей.
Современные потребности организаций и увеличивающееся количество устройств различного типа, получающих доступ к сети и объемному контенту, являются основным катализатором развития сетей, которые требуют все большей емкости и производительности. Эти потребности ведут за собой и необходимость все больших инвестиций в дополнительные решения обеспечения безопасности и контроля сети. Для предприятий, которые стремятся внедрять новые технологии, такие как мобильные и облачные приложения, в свою существующую среду обеспечения безопасной работы, этот фактор является критичным.
"Предприятия, которые стараются расширить свои возможности за счет новейших технологий, одновременная потребность в увеличении емкости и производительности вызывает возникновение циклического процесса постоянного расширения сетевой инфраструктуры и системы безопасности, - говорит вице-президент IDC по продуктам и услугам безопасности Кристиан Кристиансен (Christian Christiansen). - Blue Coat и Crossbeam уже имеют опыт создания объединенных экосистем безопасности и их нынешний союз позволяет надеяться, что мы сможем получить даже более продвинутые решения в сетевой безопасности".
Продукты Crossbeam Х-серии являются единственной на рынке масштабируемой платформой высокого уровня, которая позволяет организациям консолидировать свою сетевую инфраструктуру с инфраструктурой безопасности. Объединение ее с решениями Blue Coat Unified Security позволяет создать идеальную контрольную точку в сети для управления приложениями, мониторинга входящего и выходящего трафика для всех пользователей в любой точке сети любого масштаба.
Blue Coat и Crossbeаm входят в группу компаний, контролируемых частным инвестиционным фондом Thoma Bravo, который собственно и явился инициатором и организатором сделки. Процесс приобретения Crossbeam Systems предполагается завершить 31 декабря 2012 года.
При этом Blue Coat объявила, что заказчики Crossbeam будут продолжать получать тот же высокий уровень поддержки и сервиса. Более того, в рамках интеграции, в дальнейшем будет создана единая система поддержки, основанная на лучших методологиях и технологиях обеих компаний.
Существующие каналы продаж Blue Coat и Crossbeam пока будут функционировать независимо.
 
Мастер-дистрибутором Blue Coat в России является компания Web Control.

О компании Crossbeam Systems
Crossbeam Systems предлагает организациям принципиально новый подход к созданию и предоставлению услуг в области информационной безопасности. В основе решения Crossbeam – высокомасштабируемая аппаратная платформа обеспечения безопасности следующего поколения, призванная упростить обеспечение услуг безопасности, а также повысить уровень их консолидации и виртуализации. При этом у клиента сохраняется возможность выбора самых передовых приложений в области безопасности. Сайт компании: www.crossbeam.com.

В России оборудование Blue Coat поставляется компанией Web Control (www.web-control.ru). Начало продаж нового виртуального устройство запланировано на ноябрь текущего года.

• Интерфейсы 40G
• Модульность
• Плотность лучшего в отрасли уровня
• Возможность масштабироваться до работы с 256 устройствами и 10000+ портами при использовании фирменной архитектуры vMesh
• Упрощение управления системами NPB при использовании VSS Management Center (vMC).

В серию продуктов vBroker вошли два семейства - vBroker 200 и vBroker 300.

Отметим, что согласно исследованию компании Frost & Sullivan, продукты VSS Monitoring класса NPB являются лучшими в своем классе на мировом рынке.

Более подробную информацию можно найти на промо-странице NP

Поставщиком этого оборудования в Россию является Web Control.

Web Control получил сертификат ФСТЭК на программное обеспечение Blue Coat.
Компания Web Control, дистрибутор систем безопасности и мастер-дистрибутор Blue Coat, сертифицировала программное обеспечение компании Blue Coat (SGOS ver. 6.2) как средство защиты информации, не содержащей сведений, составляющих государственную тайну (сертификат соответствия № 2676).

Сертифицированное программное обеспечение является операционной системой, встроенной в флагманские устройства Blue Coat - ProxySG.

Теперь устройства на основе ПО Blue Coat можно использовать для защиты информации во всех информационных системах, работающих с персональными данными, до 2 класса включительно, в том числе и государственных учреждениях.

Согласно законам и нормативным актам РФ, сертифицированное ФСТЭК программное обеспечение рекомендуется использовать государственным организациям и организациям, работающим с персональными данными граждан. Применение сертифицированного ПО позволяет также стандартизировать рабочие места пользователей, что необходимо для обязательной аттестации объектов автоматизации в государственных организациях.

Сертификационные испытания проведены испытательной лабораторией компании "Эшелон".

В России сертифицированные системы Blue Coat можно купить только в компании Web Control, а также у ее партнеров.

Lancope объявила, что ее продукт StealthWatch обеспечивает возврат инвестиций (ROI) в размере 259% в течение трех лет, согласно исследованиям Forrester Consulting \"Полное экономическое влияние Lancope StealthWatch\", проведенным в июне 2012 г. В этом исследовании указано также, что StealthWatch окупается за 10 месяцев.
Полный список финансово значимых преимуществ StealthWatch, перечисленный в этом документе, включает в себя:

• Отсутствие затрат, присущих альтернативным решениям
• Экономия затрат на обслуживание при замене сторонних решений
• Уменьшение затрат на определение и исправление инцидентов в сфере безопасности
• Влияние улучшенной прозрачности сети на работу help desk и системы поддержки от tier-one до tier-three
• Выигрыш в продуктивности подразделения обслуживания сети.

19 июля Lancope проводит вебинар, на котором будут обсуждаться результаты этого исследования. Зарегистрироваться на вебинар можно здесь: http://www.lancope.com/news-events/webinars/achieving-259-roi-with-stealthwatch/.
Полный текст исследования можно найти здесь: http://www.lancope.com/resource-center/industry-re...-economic-impact-stealthwatch/

Компания Lancope объявила, что ее флагманская система StealthWatch теперь включает в себя четыре новых информационных панелей для обзора угроз, связанных с сетевым прощупыванием, распространением внутреннего вредоносного ПО, трафиком класса command-and-control (CnC) и утечек данных.
Эти новые специально настроенные информационные панели позволяют организациям отслеживать эти особенно опасные и незаметные для других средств обнаружения кибер-атаки внутри сети.
Эти же информационные панели работают как ключевые компоненты нового решения Cisco Cyber Threat Defence. Это решение, комбинирующее самые лучшие функциональные возможности Lancope и Cisco, обеспечивает беспрецедентные возможности для контроля сети. Путем сбора и анализа NetFlow, IPFIX и других потоковых данных существующей инфраструктуры, StealthWatch обеспечивает глубокий контроль полного спектра внутренних и внешних угроз, с которыми сталкиваются сегодня корпоративные сети. Автоматическая приоритезация угроз и опциональная автоматическая смягчения их влияния решает многие проблемы и уменьшает время между идентификацией проблемы и ее разрешением.
Центром сбора, анализа, графической визуализации и отчетности состояния сети и безопасности для всей сети является StealthWatch Management Console, в рамках которой и работают новые информационные панели. Именно эти панели администраторы теперь могут видеть:

• Сетевое прощупывание - зондирование сети для определения возможностей, которые затем будут использованы для настраиваемых кибер-атак
• Распространение внутреннего вредоносного ПО - расползание этого ПО по хостам внутри сети, позволяющее получить информацию для прощупывания, украсть информацию или создавать "задние двери" для дальнейшей инфильтрации в сеть.
• Трафик класса command-and-control - коммуникация ботнетов между атакующими и зараженными хостами в сети
• "Просачивание" данных - экспортирование конфиденциальных данных в сторону атакующего, как правило с помощью коммуникаций типа command-and-control

Этот новый уровень интеллектуального контроля позволяет обеспечить возможность аналитику безопасности точнее скорректировать свои дальнейшие шаги для исключения любого типа риска.

Противостояние этих двух устройство очень бурно обсуждается на форуме Cisco. Нас это сравнение интересует исключительно только с точки зреия поддержки NetFlow и IPFIX. Когда речь идет об отчетности для для файервола, нас интересует:

• Традиционная отчетность по потокам
• Отчетность по логам
• Другие интересные данные экспорта потоков (например, имена пользователей)

Что касается отчетности по логам, то почти все файерволы сегодня экспортируют syslogs, а некоторые экспортируют логи в датаграммах NetFlow. Файерволы Cisco ASA и SonicWall, например, поддерживают и то и другое.

Даже учитывая наличие некоторых проблем с экспортом NetFlow у Cisco ASA, мы получаем здесь отличные отчеты на базе NetFlow:

• Крупнейшие потребители трафика, приложения, протоколы и т.п.
• Имена пользователей, что очень полезно для мониторинга безопасности BYOD (мобильных систем)
• Списки контроля нарушений доступа
• Изменения сетевых адресов

Пример отчета для Cisco ASA NSEL:

Juniper SRX не экспортирует логи и если вы посмотрите в конфигурацию J-Flow (аналог NetFlow, используемый компанией Juniper), то это в основном sampled NetFlow. Ну и кому понравится быть ограниченным  только этой возможностью? Это похоже на отчетность по sFlow.
Экспорт NetFlow также очень важен, если мы начинаем заниматься проблемой обнаружения продвинутых постоянных угроз (advanced persistent threats). Многие решения обеспечения безопасности на базе NetFlow
передают потоки в базу данных репутации хостов, чтобы определять коммуникации с известными вредоносными хостами. NetFlow Sampling, к сожалению, может не заметить отдельные угрозы.

Для информации.
Все крупнейшие игроки на рынке файерволов поддерживают технологию анализа пакетов. Cisco ASA, Juniper SRX (sampled), SonicWALL, Barracuda, Palo Alto Networks, Checkpoint и Fortinet (sFlow) - все они используют ее.

Часто спрашивают , как технология сбора потоков и их анализа с помощью NetFlow влияет на затраты, необходимые для поддержки сети. Особенно часто сегодня, когда сети становятся все более сложными, а количество угроз все увеличивается, многие организации - государственные и частные - начинают смотреть на свою сетевую инфраструктуру с боязнью, не переставая думать, где же здесь следует ждать очередного крупного "прокола".
К сожалению, динамически изменяющаяся сетевая инфраструктура все менее эффективно защищается традиционными системами безопасности и мониторинга, а использование их становится все более дорогим.  Именно поэтому, многие организации начинают использовать NetFlow или IPFIX в качестве источника информации для обеспечения прозрачности сетевых процессов. Сегодня уже многие компании стали использовать StealthWatch для мониторинга на базе потоков для контроля всех "белых пятен" сети и, как результат, имеют сегодня более надежную систему защиты и мониторинга за меньшую цену. Как пример, Gartner оценивает, что NetFlow может обеспечить более, чем 80%-контроль всей сети. Эта аналитическая фирма при этом также утверждает, что "по мере того, как значение и удобство использования данных потоков возрастает, необходимость использования проб (зондов) будет уменьшаться, но никогда не исчезнет". 
Компания Lancope недавно подготовила новый отчет об окупаемости инвестиций (ROI, Return on Investment), которая может быть достигнута при использовании системы StealthWatch. Согласно отчету, при использовании этой системы:

• Высшая морская школа (The Naval Postgraduate School) увеличила уровень визуализации внтреннего сетевого трафика в 10 раз, с 90 Мб/мин до 900 Мб/мин.
• Дартмурский колледж (Dartmouth College) уменьшил количество сетевых угроз на 90%.
• Медицинская компания Aurora Health Care уменьшила время, затрачиваемое на исследование сетевых инцидентов вдвое.  
• Медицинский Puget Sound Blood Center сегодня экономит в среднем 22680 USD, которые он терял ранее за каждый час отказа сети.
• Ротердамский Grafisch Lyceum сегодня тратит на поддержку инфраструктуры и ПО на 75% меньше по сравнению с другими технологиями мониторинга.

Полный текст отчета находится здесь.

По сообщениям прессы, троянская программа поразила более 650 тысяч компьютеров Mac, напугав пользователей, которые чувствовали себя вне опасности в отличие от пользователей Windows. Учитывая это, предприятиям, которые используют в работе мобильные устройства (bring-your-own-device, BYOD), необходимо укрепить свою защиту.
Компанию Apple всегда критиковали за медленный выпуск обновлений, связанных с критическими проблемами безопасности. Поскольку рыночная доля Apple постоянно увеличивается, пользователям, предприятиям и собственно Apple должны быть готовы росту количества и опасности атак, направленных на операционную систему Mac OS X.
В сегодняшних условиях размывания сетевого периметра и возрастания количества мобильных устройств в сетевой среде администраторам становится все труднее контролировать и защищать сеть . Сотрудники хотят иметь возможность использовать в работе любое устройство, которое им больше подходит, включая и домашний Mac. И, естественно, они будут входить в сеть с помощью этих устройств, тем самым подвергая значительному риску безопасность корпоративной информационной системы.
И как тогда администратор может помешать троянцу, такому как Flashback, пройти сквозь границы корпоративной сети, не имея возможности контролировать устройства, которые пользователи принесли с собой на работу? А также без возможности указывать им, какие инструменты обеспечения безопасности они должны инсталлировать на своих устройствах?
Единственное решение, которое позволяет решить проблему обеспечения безопасности при масштабном использовании BYOD, является NetFlow. Система, анализирующая данные NetFlow, позволяет глубоко просматривать процессы и активности, которые происходят во всей сети. Именно так можно получить возможность  контролировать любое устройство, получившее доступ в сеть - без необходимости инсталлировать какое-либо ПО или устанавливать дорогостоящие пробы (зонды).
Например, система мониторинга потоков Lancope StealthWatch путем сбора ценной информации о персональных устройствах, включая тип устройства, идентификационные данные пользователя, безопасность ресурсов, к которым обращается устройство, физическое расположение устройства, может эффективно обеспечить безопасность и гарантировать, что мобильные устройства не загружают конфиденциальные данные или не заражают вредоносным ПО другие системы.

По данным компании Lancope

Компания Blue Coat выпустила новую версию (v9) своей операционной системы для устройств PacketShaper и впервые в отрасли смогла обеспечить контроль сети, приложений и контента для "невидимых сетей" IPv6, которые в настоящее время никак не отслеживаются в существующих корпоративных сетях IPv4.
Кроме того, новое программное обеспечение обеспечивает масштабируемую производительность до 8 Гбит/с, что позволяет устройствам PacketShaper успешно работать все в более быстрых и нагружаемых сетях, с большим трафиком приложений и масштабными загрузками больших файлов.

Новая версия ОС позволяет пользователям отслеживать трафик IPv6 также, как любой другой трафик.
PacketShaper v9 может контролировать такие приложения на базе IPv6, как CIFS, FTP, SSL, HTTP, Exchange и многие другие. Суммарно сегодня PacketShaper может отслеживать более 700 приложений и десятки миллионов веб-сайтов в 84 категориях. Операционная система PacketShaper v9 теперь может предоставлять суммарный отчет по IPv6, при этом разделяет весь трафик на IPv6, IPv4 и non-IP.
PacketShaper v9 отличается также очень быстрым откликом интерфейса пользователя, увеличенной примерно в 10 раз способностью реагирования и высокой степенью интерактивности.

Новая система доступна уже сейчас. Апгрейд бесплатен для всех систем, которые обслуживаются в рамках действующих соглашений о поддержке.

NetFlow VoIP Monitoring часто требует контроля QoS или значений DSCP. Ниже приведена некоторая статистика, которая может быть получена, когда осуществляется мониторинг сетевого трафика с помощью Flexible NetFlow.

Контроль VoIP с помощью NetFlow

Время "туда и обратно": время прохождения сигнала от хоста A до хоста B. Маршрутизатор измеряет это путем наблюдения за TCP hand shake между SYN, SYN ACK и ACK.
Время жизни: Эта метрика показывает максимальное количество hops, какое позволяет датаграмма. Это значение уменьшается по мере прохождения через каждый очередной маршрутизатор. Когда значение становится равным нулю, оно не будет пересылаться.
Джиттер: Статистика о вариациях задержки пакетов, вызванных очередями, конкуренцией и передачей по частям при прохождении сети. Для выравнивания задержек могут использоваться буферы, но слишком большая буфферизация увеличивает задержку и мешает нормальному показу интерактивного видео.
Потери пакетов: Потери пакетов быстро отражается на слышимости и видимости. Вследствие особой природы видео-компрессии, одиночная потеря пакета может вызвать многосекундные артефакты, видимые на экране. Потери могут вызываться плохой связью (обычно в последней миле, либо при беспроводной связи), изменениями маршрутизации в сети или массой других причин.

Если вам необходимо контролировать VoIP, то забудьте традиционный экспорт NetFlow. Для того, чтобы получать подобные метрики, используйте Flexible NetFlow.

NetFlow v5 предоставляет нам возможность взглянуть в глубину сетевого трафика, NetFlow v9 дает еще больше средств, Flexible NetFlow является, хм..., flexible, ну а IPFIX что дает нам по сравнению с NetFlow?
Сейчас несколько вендоров уже поддерживают IPFIX. Это:

• Juniper
• Lancope
• Nortel
• SonicWALL
• Extreme
• NTOP
• Plixer

Итак... Коммутаторы, файерволы, программное обеспечение. Да, достаточно большой набор устройств, которые могут поставлять информацию в коллекторы IPFIX.
Сравним два варианта экспорта.   Далее...

Для того, чтобы существенно уменьшить затраты на мониторинг распределенной сети (капитальные затраты (CAPEX) на 80%, операционные затраты (OPEX) на 50%), можно использовать Network Intelligence Optimization компании VSS Monitoring.

Знаете ли вы, как уменьшить количество сетевых инструментов, которыми необходимо управлять и обслуживать, с одновременным уменьшением времени отклика на диагностирование сетевых проблем? Хотите ли вы иметь возможность видеть все сетевые процессы и уменьшить количество "белых пятен" сети? Уменьшить затраты, связанные с текучестью подписчиков, одновременно улучшив качество оказываемых пользователям услуг?

Узнайте, как можно сделать много за меньшие деньги. Посмотрите, как система VSS Network Intelligence Optimization:

• Повышает прозрачность сети и уменьшает количество "черных дыр"
• Позволяет использовать инструменты класса 1G в новой среде 10G, сохраняя уже сделанные инвестиции
• Увеличивает доходность, минимизируя затраты на обслуживание

 Система VSS Network Intelligence Optimization оптимизирует связи между сетевыми коммутаторами и интеллектуальными сетевыми инструментами, которые используются для мониторинга, обеспечения безопасности и WAN-акселерации, и позволяет:

•  Восстановить визализацию на уровне линии
• Обеспечить все сетевые инструменты полной информацией о всей сети
• Уменьшить конкуренцию портов для сетевого трафика
• Расширить визуализацию сети от уровня доступа через ядро к сетевым сервисам
• Аппаратным образом оптимизировать доставку в каждое устройство контроля только того трафика, который им необходим

Более подобно смотрите здесь: Network Intelligence Optimization ROI Challenge

По мере роста корпоративной сети ею становится все более трудно управлять. Вы теряете возможность отслеживать процессы, которые в ней происходят, вы тратите деньги и силы, стараясь сохранить ее работоспособность. Для того, чтобы решить эти и многие другие задачи, появились системы, позволяющие контролировать и анализировать все происходящее в сети. Что же могут такие системы? Рассмотрим это на примере одной самых популярных и мощных систем контроля сетевого трафика на базе анализа данных NetFlow - Lancope StealthWatch.

Знаете ли вы, что ваши сотрудники 20% рабочего времени тратят на развлечения? Внедрение системы мониторинга и анализа сетевого трафика поможет обнаружить нежелательные сервисы, такие как использование P2P, участие в онлайновых играх, переписка в системах мгновенных сообщений, возможно также обнаружение нетипичных передач информации.

Знаете ли вы, что раннее обнаружение аномалий или атак может предотвратить события (и связанные с этим затраты), которые способны нанести вам материальный или репутационный ущерб? Система постоянного контроля сетевого трафика вполне эффективно справляется с предотвращением подобных проблем.

И это только немногое из того, что могут такие системы. Далее...