Нижеуказанные данные являются результатом анализа десятков внедрений аналогичных систем и разговоров с сотнями клиентов. В итоге мы смогли выделить 5 ключевых параметров, позволяющих успешно внедрить систему контроля сети с использованием NetFlow:
5) Масштабируемость. Хотя в большинстве сетей наших заказчиков не посылается более, чем 20К потоков в секунду со всех коммутаторов и маршрутизаторов, скорость сбора данных очень важна. В ближайшем будущем оборудование будет пересылать еще больше детальных данных в формате NetFlow и IPFIX и, следовательно, коллекторы начнут сталкиваться с удвоенным и утроенным объемом потоков. Поэтому, как минимум, выбирайте производителя решения, которое сможет быть масштабировано до уровня выше 100К потоков в секунду на одно устройство. С такими возможностями по емкости вы сможете масштабироваться до миллионов, используя распределенную среду сбора NetFlow.
4) Обнаружение сетевых угроз. Файерволы и системы защиты от вторжений (Intrusion Protection Systems, IPS) являются первой линией защиты от вредоносного сетевого ПО, но они не справляются со внутренними угрозами. Модель безопасности класса Zero-Trust требует постоянного мониторинга malware, которое уже проникло внутрь сети. Такие системы отслеживают странное поведение потоков за минуты для каждого хоста в сети. Они сравнивают IP-адреса со списками Internet Reputation и сигнализируют в случае превышения индекса репутации или при повышенном росте трафика для какого-либо хоста.
3) Расследование. Идентификация угрозы почти всегда требует продолжить исследования. Способность определения, где вредоносное ПО проникло в вашу сеть, как оно это сделало, кто при этом входил в сеть и когда это произошло, требует самой лучшей специализированной фильтрации трафика и широких возможностей построения отчетов. В большинстве случаев, когда мы очищаем систему от вредоносного ПО, нам необходимо знать, кто еще может быть задействован. Поиск по базе данных устройств, замеченных в аналогичном аномальном поведении трафика, должен быть быстрым, масштабируемым и способным просматривать данные за значительный прошлый период времени.
2) Корреляция потоков и логов. Отчетность на основе NetFlow И IPFIX существенно обогащается, когда данные могут коррелироваться с информацией от syslogs или машинных логов. Если syslog сообщает об угрозе или запрещенном соединении, мы можем получить IP-адрес или протокол, отследить данные потока и определить, кто или что участвовали в это время в событии. Граница между данными потоков и логами уменьшается и среднее время обнаружения (Mean Time To Know, MTTK) часто укорачивается, когда такие детали, как посещенный URL, доступны через один интерфейс.
1) Контекстные детали. Этот функционал только начинает предлагаться в NetFlow- или IPFIX-решениях следующего поколения. Контекстные данные еще более расширяют возможности корреляции логов и потоков, добавляя такие много говорящие детали, как имя пользователя, операционная система, которые раньше можно было найти только в некоторых логах или базах данных. Enterasys Mobile IAM и Cisco ISE собирают эти детали и могут быть настроены для совместного использования этой информации с системами анализа и отчетности на базе потоковых технологий, таких как StealthWatch. Учитывая растущий интерес к контролю трафика мобильных систем (BYOD), надо полагать, что этот список будет расширяться.