Компания Verizon недавно опубликовала свой очередной и очень востребованный отчет  Data Breach Investigations Report. Этот документ, который включает в себя анализ более 47 тыс. известных инцидентов в области безопасности и 621 подтвержденных случаев утечек данных, содержит в себе очень интересную статистику и показывает тренды, связанные с кибер-безопасностью. Что наиболее важно, он указывает на факт, что системы реагирования на инциденты и обеспечения сетевого надзора должны играть значительно большую роль в стратегии безопасности организаций. Компания Lancope проанализировала этот документ.

Инсайдерские угрозы и APT (Advanced Persistent Threats)

Отчет говорит о том, что 14% нарушений были совершены инсайдерами и 19% были связаны с группировками, спонсируемыми государствами. Эти два типа атак наиболее трудно обнаружить обычными системами контроля безопасности на уровне периметра или базирующихся на анализе сигнатур. Инсайдеры уже имеют разрешенный доступ к сети и им не требуется проходить любые традиционные средства защиты, чтобы  начать воровать информацию или вредить вашей инфраструктуре. В свою очередь преступники второго типа (которые, в основном, ответственны за APT) известны тем, что создают специальные скрытные методы для проникновения за периметр внутрь сети без использования ПО, которое может быть обнаружено обычными средствами защиты. И действительно 76% проникновений, проанализированных Verizon, использовали украденные или легко определяемые аутентификационные данные для получения доступа в сеть, а 29% использовали тактику социальной инженерии. Кроме того, более 95% спонсируемых государствами фактов кибер-шпионажа использовали фишинг как средство инфильтрации в целевую систему. Единственный метод защиты от таких,  все чаще встречающихся, атак (инсайдеры и APT) - это знать, что происходит в вашей сети и быть способным определить подозрительное поведение, которое может повысить риск.

Значение отклика на инциденты

Как сказано в отчете Verizon, "предотвращение атаки очень важно, и мы всегда будем обращать внимание на эту цель. Но мы должны принять тот факт, что нет непреодолимых барьеров и обнаружение инцидентов и реакция на них является сегодня важнейшей линией обороны".
Verizon также отдельно отмечает NetFlow, как "очень полезный ресурс для исследований". Путем сбора и анализа NetFlow и других типов потоковых данных, Lancope StealthWatch, в частности, позволяет получить полную картину сетевой активности для обнаружения угроз из-за инсайдеров в сети, а также проводить аналитические исследования для того, чтобы не допустить скрытых современных атак.

Обеспечение прозрачности сети - это ключ к сохранению безопасности

Forrester, в свою очередь, также указал на этот пункт в своем анализе отчета Verizon, называя провайдеров систем обеспечения сетевой прозрачности, таких как Lancope, ключевым компонентом в идентификации большинства звеньев сложных "убийственных цепочек", создаваемых кибернетическими преступниками. Аналитик Forrester Рик Холланд указывает, что "анализ трафика и обеспечение прозрачности всех процессов должны быть внедрены в вашей сетевой среде. Когда подводит превентивный контроль, и мы знаем, что это наверняка произойдет, нам необходима сильная система исследования сети. Такие решения способны обнаруживать факты передачи, выполнения команд и контроля вашей инфраструктурой, также как и факт инфильтрации". Здесь он упоминает несколько производителей, включая Lancope, которые работают в этом направлении.
В целом, отчет Verizon - это очень ценный документ для любой организации. Учитывая, что 66% нарушений продолжались в течение месяцев и даже больше того, прежде чем они были обнаружены (согласно отчету), он еще раз подчеркивает важный факт, что существующее состояние систем защиты уже не может обеспечить сетевую безопасность в наши дни. Подразделение безопасности должно играть более активную роль в защите сети, внедряя такие инструменты, как мониторинг на базе потоковых технологий, который обеспечивает полную прозрачность сети и предоставляет данные для анализа безопасности.

Дополнительную информацию о том, как использовать NetFlow для противодействия современным кибер-угрозам, можно получить в документе компании Lancope "Internal Network Visibility for APTs and Insider Threats".

Источник: http://web-control.livejournal.com/25748.html

Распределенные атаки типа "отказ от обслуживания" (distributed denial-of-service, DDoS) впервые появились в новостях в декабре 1999 года; и этот случай был связан с системой trin00, основанной на использовании ботнета. Эти атаки сегодня эволюционируют, но принцип остался прежним: сотни и тысячи географически распределенных хостов начинают бомбардировать пустыми запросами сервера, после чего последние начинают испытывать перегрузку и не могут своевременно обрабатывать легитимные запросы. Все это время производители пытаются разработать продукты, которые эффективно противостоят DDoS.

Проблемы обороны от DDoS

Защититься от DDoS сложно по следующим трем основным причинам.

• Врожденные уязвимости сети
  Во-первых, в этом случае нет уязвимостей сети, которая используется преступниками. Атака успешна потому, что в природе всех компьютерных платформ существует некий порог доставки. Компьютеры, кластеры или облачные системы - все они имеют физические ограничения по количеству запросов, которые они могут обрабатывать в заданное время. Успешная атака DDoS должно просто генерировать достаточное количество трафика, чтобы превысить это пороговое значение. Большая часть других атак может быть отражена путем использования специальных патчей, конфигурацией систем безопасности или изменение политик. Но ни один из этих подходов не поможет противостоять DDoS. Службы должны быть всегда доступны и, значит, уязвимы для атак.
• Невозможность заблокировать толпу
  DDoS очень сложно заблокировать, поскольку существует очень много источников атаки. Очень трудно обеспечить эффективную блокировку длинного списка атакующих IP-адресов. Потенциально тысячи адресов должны быть временно добавлены в черный список для того, чтобы остановить атаку. Если атакующий использует метод, прикрывающий атаку вполне легитимными хостами (spoofing), то в черный список могут попасть и невинные хосты.

• Поиск виновных
  Тут мы сталкиваемся с третьей проблемой: очень сложно определить, какие пользователи делают вполне законные запросы, а какие участвуют в DDoS. Поскольку все компьютеры, получающие доступ к услугам, создают нагрузку на сервер, то они все и участвуют в атаке, даже не зная об этом. Нужна очень аккуратная проверка, чтобы определить, какие клиентские хосты "хорошие", а какие "плохие". Нужно сделать много расчетов и сделать их быстро, прежде чем будут приняты какие-либо решения.

Когда все меры не помогают

Современные DDoS-атаки заставили специалистов задуматься, почему их обычные механизмы предотвращения таких атак не работают. Суть в том, какой бы механизм защиты не использовался, если у атакующих есть масса времени для его исследования, то он будет преодолен.
Сейчас преступники стали лучше финансироваться и создают более сложные инструменты атак, чем раньше. Они могут купить точно такие же механизмы защиты, которые используются внутри корпорация, и начать разрабатывать методику для их преодоления. Распределенные каналы и ботнеты позволяют очень быстро начать такую продвинутую DDoS-атаку. Роль постоянного наблюдения за поведением сети становится в этих условиях особенно критичной, когда понимаешь, как атакующие проводят свои атаки.
Сетевое обнаружение аномалий
Подобных систем не так уж и много на рынке, и одной из наиболее продвинутых является Lancope StealthWatch. Это устройство создает "снимок" (базовую отметку) нормального трафика для каждого сетевого хоста, группы хостов и определяет взаимоотношения между хостами. Подобный подход позволяет StealthWatch сигнализировать при следующих условиях, ассоциирующихся с DDoS:

• Высокий индекс мишени. Каждому хосту присваивается значение, соответствующее уровню подозрительной активности, которая направлена на него. Это позволяет получить список приоритетных активов, которые находятся в максимальной опасности.


• Время отклика сервера. Используя устройства FlowSensor и FlowSensor VE, система StealthWatch может сигнализировать, когда веб-сервер или сервер баз данных начинает захлебываться.


• Количество пакетов в секунду. StealthWatch может отображать чрезмерное количество трафика, направленное на сетевые ресурсы.


• Закупорка интерфейса. Метрики уровня производительности интерфейса постоянно контролируются, обеспечивая просмотр атаки на физическом уровне.


• Максимальное количество обслуживаемых потоков. Каждый сервер создает базовые параметры нормального объема соединений. Когда этот порог преодолевается, оператор StealthWatch получает соответствующий сигнал.


• Максимальное количество получаемых SYN. Когда сервер начинает получать "нездоровое" количество пакетов TCP SYN, можно использовать раннее предупреждение об этом.


• Высокий общий трафик взаимосвязей. Когда создается такое количество HTTP-запросов, которое превышает возможности сервера баз данных, то появляется сигнал о несоответствии взаимного количества запросов-ответов, показывающий проблемы на таком уровне, на котором другие системы борьбы с DDoS не работают.


• Активность нового хоста. Легитимные пользователи веб-сервисов имеют тенденцию к регулярности своих визитов. Атакующие хосты не имеют привычки задерживаться или возвращаться на "место преступления". StealthWatch может различать эти два типа пользователей.


• High Concern Index. Это собственная методика Lancope, которая заключается в том, что такой индекс (показатель) опасности позволяет определять приоритет подозрительной или аномальной активности, проистекающей от хоста. Внешние "агрессоры" вызывают появления сигнала от High Concern Index, когда компьютеры, к которым они хотят подключиться, будут иметь низкий индекс.


• Максимальное количество инициируемых потоков. Зная количество потоков в минуту, которое создает легитимный пользователь при доступе к сервису, StealthWatch будет сигнализировать о хостах, которые будут показывать превышение такой нормы.

Заключение

DDoS - это один из видов атак, которые организация может обнаружить, даже не имея соответствующей сетевой системы наблюдения за трафиком. Но без надежного и интеллектуального мониторинга сети практически невозможно противостоять такому событию. DDoS - это тот тип атак, который все еще продолжает наносить вред компаниям и организациям. Продолжающаяся эволюция инструментов DDoS и широкое распространение этих угроз среди хакеров и компьютеров в масштабных ботнетах требует использования не только решений, способных уменьшить их воздействие, но и решений, обеспечивающих визуализацию сети, что, в свою очередь, облегчает пробраться через туман, который поднимается при атаке класса "отказ от обслуживания".

Нижеуказанные данные являются результатом анализа десятков внедрений аналогичных систем и разговоров с сотнями клиентов. В итоге мы смогли выделить 5 ключевых параметров, позволяющих успешно внедрить систему контроля сети с использованием NetFlow:
5) Масштабируемость. Хотя в большинстве сетей наших заказчиков не посылается более, чем 20К потоков в секунду со всех коммутаторов и маршрутизаторов, скорость сбора данных очень важна. В ближайшем будущем оборудование будет пересылать еще больше детальных данных в формате NetFlow и IPFIX и, следовательно, коллекторы начнут сталкиваться с удвоенным и утроенным объемом потоков. Поэтому, как минимум, выбирайте производителя решения, которое сможет быть масштабировано до уровня выше 100К потоков в секунду на одно устройство. С такими возможностями по емкости вы сможете масштабироваться до миллионов, используя распределенную среду сбора NetFlow.
4) Обнаружение сетевых угроз. Файерволы и системы защиты от вторжений (Intrusion Protection Systems, IPS) являются первой линией защиты от вредоносного сетевого ПО, но они не справляются со внутренними угрозами. Модель безопасности класса Zero-Trust требует постоянного мониторинга malware, которое уже проникло внутрь сети. Такие системы отслеживают странное поведение потоков за минуты для каждого хоста в сети. Они сравнивают IP-адреса со списками Internet Reputation и сигнализируют в случае превышения индекса репутации или при повышенном росте трафика для какого-либо хоста.
3) Расследование. Идентификация угрозы почти всегда требует продолжить исследования. Способность определения, где вредоносное ПО проникло в вашу сеть, как оно это сделало, кто при этом входил в сеть и когда это произошло, требует самой лучшей специализированной фильтрации трафика и широких возможностей построения отчетов. В большинстве случаев, когда мы очищаем систему от вредоносного ПО, нам необходимо знать, кто еще может быть задействован. Поиск по базе данных устройств, замеченных в аналогичном аномальном поведении трафика, должен быть быстрым, масштабируемым и способным просматривать данные за значительный прошлый период времени.
2) Корреляция потоков и логов. Отчетность на основе NetFlow И IPFIX существенно обогащается, когда данные могут коррелироваться с информацией от syslogs или машинных логов. Если syslog сообщает об угрозе или запрещенном соединении, мы можем получить IP-адрес или протокол, отследить данные потока и определить, кто или что участвовали в это время в событии. Граница между данными потоков и логами уменьшается и среднее время обнаружения (Mean Time To Know, MTTK) часто укорачивается, когда такие детали, как посещенный URL, доступны через один интерфейс.
1) Контекстные детали. Этот функционал только начинает предлагаться в NetFlow- или IPFIX-решениях следующего поколения. Контекстные данные еще более расширяют возможности корреляции логов и потоков, добавляя такие много говорящие детали, как имя пользователя, операционная система, которые раньше можно было найти только в некоторых логах или базах данных. Enterasys Mobile IAM и Cisco ISE собирают эти детали и могут быть настроены для совместного использования этой информации с системами анализа и отчетности на базе потоковых технологий, таких как StealthWatch. Учитывая растущий интерес к контролю трафика мобильных систем (BYOD), надо полагать, что этот список будет расширяться.

Lancope объявила, что ее продукт StealthWatch обеспечивает возврат инвестиций (ROI) в размере 259% в течение трех лет, согласно исследованиям Forrester Consulting \"Полное экономическое влияние Lancope StealthWatch\", проведенным в июне 2012 г. В этом исследовании указано также, что StealthWatch окупается за 10 месяцев.
Полный список финансово значимых преимуществ StealthWatch, перечисленный в этом документе, включает в себя:

• Отсутствие затрат, присущих альтернативным решениям
• Экономия затрат на обслуживание при замене сторонних решений
• Уменьшение затрат на определение и исправление инцидентов в сфере безопасности
• Влияние улучшенной прозрачности сети на работу help desk и системы поддержки от tier-one до tier-three
• Выигрыш в продуктивности подразделения обслуживания сети.

19 июля Lancope проводит вебинар, на котором будут обсуждаться результаты этого исследования. Зарегистрироваться на вебинар можно здесь: http://www.lancope.com/news-events/webinars/achieving-259-roi-with-stealthwatch/.
Полный текст исследования можно найти здесь: http://www.lancope.com/resource-center/industry-re...-economic-impact-stealthwatch/

Компания Lancope объявила, что ее флагманская система StealthWatch теперь включает в себя четыре новых информационных панелей для обзора угроз, связанных с сетевым прощупыванием, распространением внутреннего вредоносного ПО, трафиком класса command-and-control (CnC) и утечек данных.
Эти новые специально настроенные информационные панели позволяют организациям отслеживать эти особенно опасные и незаметные для других средств обнаружения кибер-атаки внутри сети.
Эти же информационные панели работают как ключевые компоненты нового решения Cisco Cyber Threat Defence. Это решение, комбинирующее самые лучшие функциональные возможности Lancope и Cisco, обеспечивает беспрецедентные возможности для контроля сети. Путем сбора и анализа NetFlow, IPFIX и других потоковых данных существующей инфраструктуры, StealthWatch обеспечивает глубокий контроль полного спектра внутренних и внешних угроз, с которыми сталкиваются сегодня корпоративные сети. Автоматическая приоритезация угроз и опциональная автоматическая смягчения их влияния решает многие проблемы и уменьшает время между идентификацией проблемы и ее разрешением.
Центром сбора, анализа, графической визуализации и отчетности состояния сети и безопасности для всей сети является StealthWatch Management Console, в рамках которой и работают новые информационные панели. Именно эти панели администраторы теперь могут видеть:

• Сетевое прощупывание - зондирование сети для определения возможностей, которые затем будут использованы для настраиваемых кибер-атак
• Распространение внутреннего вредоносного ПО - расползание этого ПО по хостам внутри сети, позволяющее получить информацию для прощупывания, украсть информацию или создавать "задние двери" для дальнейшей инфильтрации в сеть.
• Трафик класса command-and-control - коммуникация ботнетов между атакующими и зараженными хостами в сети
• "Просачивание" данных - экспортирование конфиденциальных данных в сторону атакующего, как правило с помощью коммуникаций типа command-and-control

Этот новый уровень интеллектуального контроля позволяет обеспечить возможность аналитику безопасности точнее скорректировать свои дальнейшие шаги для исключения любого типа риска.

Часто спрашивают , как технология сбора потоков и их анализа с помощью NetFlow влияет на затраты, необходимые для поддержки сети. Особенно часто сегодня, когда сети становятся все более сложными, а количество угроз все увеличивается, многие организации - государственные и частные - начинают смотреть на свою сетевую инфраструктуру с боязнью, не переставая думать, где же здесь следует ждать очередного крупного "прокола".
К сожалению, динамически изменяющаяся сетевая инфраструктура все менее эффективно защищается традиционными системами безопасности и мониторинга, а использование их становится все более дорогим.  Именно поэтому, многие организации начинают использовать NetFlow или IPFIX в качестве источника информации для обеспечения прозрачности сетевых процессов. Сегодня уже многие компании стали использовать StealthWatch для мониторинга на базе потоков для контроля всех "белых пятен" сети и, как результат, имеют сегодня более надежную систему защиты и мониторинга за меньшую цену. Как пример, Gartner оценивает, что NetFlow может обеспечить более, чем 80%-контроль всей сети. Эта аналитическая фирма при этом также утверждает, что "по мере того, как значение и удобство использования данных потоков возрастает, необходимость использования проб (зондов) будет уменьшаться, но никогда не исчезнет". 
Компания Lancope недавно подготовила новый отчет об окупаемости инвестиций (ROI, Return on Investment), которая может быть достигнута при использовании системы StealthWatch. Согласно отчету, при использовании этой системы:

• Высшая морская школа (The Naval Postgraduate School) увеличила уровень визуализации внтреннего сетевого трафика в 10 раз, с 90 Мб/мин до 900 Мб/мин.
• Дартмурский колледж (Dartmouth College) уменьшил количество сетевых угроз на 90%.
• Медицинская компания Aurora Health Care уменьшила время, затрачиваемое на исследование сетевых инцидентов вдвое.  
• Медицинский Puget Sound Blood Center сегодня экономит в среднем 22680 USD, которые он терял ранее за каждый час отказа сети.
• Ротердамский Grafisch Lyceum сегодня тратит на поддержку инфраструктуры и ПО на 75% меньше по сравнению с другими технологиями мониторинга.

Полный текст отчета находится здесь.

Компания Blue Coat выпустила новую версию (v9) своей операционной системы для устройств PacketShaper и впервые в отрасли смогла обеспечить контроль сети, приложений и контента для "невидимых сетей" IPv6, которые в настоящее время никак не отслеживаются в существующих корпоративных сетях IPv4.
Кроме того, новое программное обеспечение обеспечивает масштабируемую производительность до 8 Гбит/с, что позволяет устройствам PacketShaper успешно работать все в более быстрых и нагружаемых сетях, с большим трафиком приложений и масштабными загрузками больших файлов.

Новая версия ОС позволяет пользователям отслеживать трафик IPv6 также, как любой другой трафик.
PacketShaper v9 может контролировать такие приложения на базе IPv6, как CIFS, FTP, SSL, HTTP, Exchange и многие другие. Суммарно сегодня PacketShaper может отслеживать более 700 приложений и десятки миллионов веб-сайтов в 84 категориях. Операционная система PacketShaper v9 теперь может предоставлять суммарный отчет по IPv6, при этом разделяет весь трафик на IPv6, IPv4 и non-IP.
PacketShaper v9 отличается также очень быстрым откликом интерфейса пользователя, увеличенной примерно в 10 раз способностью реагирования и высокой степенью интерактивности.

Новая система доступна уже сейчас. Апгрейд бесплатен для всех систем, которые обслуживаются в рамках действующих соглашений о поддержке.

NetFlow VoIP Monitoring часто требует контроля QoS или значений DSCP. Ниже приведена некоторая статистика, которая может быть получена, когда осуществляется мониторинг сетевого трафика с помощью Flexible NetFlow.

Контроль VoIP с помощью NetFlow

Время "туда и обратно": время прохождения сигнала от хоста A до хоста B. Маршрутизатор измеряет это путем наблюдения за TCP hand shake между SYN, SYN ACK и ACK.
Время жизни: Эта метрика показывает максимальное количество hops, какое позволяет датаграмма. Это значение уменьшается по мере прохождения через каждый очередной маршрутизатор. Когда значение становится равным нулю, оно не будет пересылаться.
Джиттер: Статистика о вариациях задержки пакетов, вызванных очередями, конкуренцией и передачей по частям при прохождении сети. Для выравнивания задержек могут использоваться буферы, но слишком большая буфферизация увеличивает задержку и мешает нормальному показу интерактивного видео.
Потери пакетов: Потери пакетов быстро отражается на слышимости и видимости. Вследствие особой природы видео-компрессии, одиночная потеря пакета может вызвать многосекундные артефакты, видимые на экране. Потери могут вызываться плохой связью (обычно в последней миле, либо при беспроводной связи), изменениями маршрутизации в сети или массой других причин.

Если вам необходимо контролировать VoIP, то забудьте традиционный экспорт NetFlow. Для того, чтобы получать подобные метрики, используйте Flexible NetFlow.

NetFlow v5 предоставляет нам возможность взглянуть в глубину сетевого трафика, NetFlow v9 дает еще больше средств, Flexible NetFlow является, хм..., flexible, ну а IPFIX что дает нам по сравнению с NetFlow?
Сейчас несколько вендоров уже поддерживают IPFIX. Это:

• Juniper
• Lancope
• Nortel
• SonicWALL
• Extreme
• NTOP
• Plixer

Итак... Коммутаторы, файерволы, программное обеспечение. Да, достаточно большой набор устройств, которые могут поставлять информацию в коллекторы IPFIX.
Сравним два варианта экспорта.   Далее...

По мере роста корпоративной сети ею становится все более трудно управлять. Вы теряете возможность отслеживать процессы, которые в ней происходят, вы тратите деньги и силы, стараясь сохранить ее работоспособность. Для того, чтобы решить эти и многие другие задачи, появились системы, позволяющие контролировать и анализировать все происходящее в сети. Что же могут такие системы? Рассмотрим это на примере одной самых популярных и мощных систем контроля сетевого трафика на базе анализа данных NetFlow - Lancope StealthWatch.

Знаете ли вы, что ваши сотрудники 20% рабочего времени тратят на развлечения? Внедрение системы мониторинга и анализа сетевого трафика поможет обнаружить нежелательные сервисы, такие как использование P2P, участие в онлайновых играх, переписка в системах мгновенных сообщений, возможно также обнаружение нетипичных передач информации.

Знаете ли вы, что раннее обнаружение аномалий или атак может предотвратить события (и связанные с этим затраты), которые способны нанести вам материальный или репутационный ущерб? Система постоянного контроля сетевого трафика вполне эффективно справляется с предотвращением подобных проблем.

И это только немногое из того, что могут такие системы. Далее...

Компания Palo Alto Networks предполагает в ближайшее время ввести поддержку NetFlow в свои продукты. Разработчики компании не только поддерживают традиционный функционал NetFlow, но и функцию глубокого анализа пакетов (DPI, Deep Packet Inspection) для идентификации приложений, таких как Skype, BitTorrent, Webex и др. Многие из современных средств анализа NetFlow ошибочно идентифицируют этот трафик как HTTP (TCP 80). Cisco NetFlow NBAR - это подобная технология, которая делает мониторинг сетевого трафика более информативным, особенно при попытке проведения анализа причин событий. Этой функции в экспорте Cisco ASA NetFlow нет.

Как можно увидить из скриншота экспортируется и имя пользователя. Поддержка этого функционала объявлена в Palo Alto Networks OS v4.1.
Более подробно о NetFlow можно узнать в www.netflowfaq.ru

Компания дополнила свои продукты этим функционалом для повышения качества работы аналитических систем сети. Новая возможность позволяет предприятиям и операторам полностью реализовать возможности уже сделанных инвестиций путем повышения производительности и точности установленных в сети средств мониторинга и анализа пакетного трафика.
"Мы обеспечили возможность получать великолепные результаты в условиях, когда бизнес растет, ресурсов не хватает, а компании должны корректировать неэффективность работы сетей и добавлять интеллектуальные инструменты для оптимизации ее производительности, - говорит Мартин Бреслин, CEO компании VSS Monitoring. - Наша цель - предлагать новые решения, которые помогут нашим потребителям получить лучший возврат от сделанных инвестиций, повысив при этом прозрачность работы сети, уменьшив задержки и ликвидировав "черные дыры", влияющие на производительность".

Далее: http://www.sacbee.com/2011/12/12/4116625/vss-monitoring-releases-monitoring.html

Компания опубликовала аналитический прогноз на 2012 год, где упомянуты пять основных угроз в области информационной безопасности. Эти предсказания касаются основных типов атак, которых следует ожидать в будущем году, и объясняют какой риск несут эти атаки.В 2011 году многие организации пострадали от подобных атак - вспомним только публикации WikiLeaks или атаки Anonymous и LulzSec. В следующем году следует ожидать подобной ситуации, если не более тяжелой.

Главные пять угроз по версии Lancope в 2012 году - это:
1. Продвинутые непрерывные угрозы (Advanced persistent threats, APTs) будут преобладать.
2. Потери от инсайдерской деятельности будут увеличиваться.
3. Атаки на промышленные системы останутся на том же уровне.
4. Угрозы, связанные с ошибочными действиями персонала, будут создавать постоянный риск.
5. Количество полностью автоматизированных атак будет уменьшаться.

Далее...

Компания была награждена за свои усилия по внедрению средств на базе NetFlow для защиты государственных и корпоративных сетей. Премией GSN Homeland Security Awards отмечают организации, которые приложили максимум усилий для обеспечения партнерства между государственными организациями всех уровней в США и производителями продуктов, решений и технологий в сфере информационной и физической защиты.  Системе Lancope StealthWatch доверили свои сети сотни государственных учреждений и корпораций, которые нуждались в надежной и интеллектуальной системе защиты информационных систем, обладающей возможностью реакции на возникающие инциденты. Далее…

Сегодня мы можем наблюдать резкий скачок в развитии технологий передачи данных в мобильных сетях.  Совсем недавно и практически одновременно было объявлено о двух событиях – ратификации стандарта Ethernet в 40,100 Гбит/с и появлении коммерчески доступных мобильных сервисов класса 4G. Всемирная ассоциация поставщиков мобильных сетей недавно даже заявила, что 4G/LTE является самой быстроразвивающейся системой в истории телекома. Для владельцев крупных сетей возникает проблема: как соответствовать новым требованиям и осуществлять мониторинг этих новых технологий?
Переход на технологии доступа четвертого поколения связан с существенным увеличением трафика данных в мобильных сетях. Увеличивая мощности сетевой среды, операторы одновременно стремятся уменьшить затраты, полностью переходя на IP-транспорт и пытаясь упростить архитектуру сети и управление ею. При этом многие важные вопросы еще не решены, в частности, вопросы совместимости различных систем 4G и формирование стандартов значительной части LTE. Кроме того переход на IP-транспорт приводит к усложнению контроля качества отдельных сервисов сети и часто к неоправданному росту сложности систем мониторинга.
Сложность добавляется и за счет того, что операторы не могут перейти на 4G за один день, они вынуждены еще достаточно долгое время работать в гибридной среде, совмещая работу существующих платформ с системами нового поколения. Предполагается, что доминирующей технологией будет  LTE, но она требует обеспечения совместимости с существующими 2G/3G-сетями, а также конкурирующими системами.
Одновременная поддержка старых и новых стандартов требует сквозного мониторинга такой сети в реальном времени на уровне пакетов, контроля ее параметров и управления, что на базе существующих систем становится практически невозможным, вследствие необходимости внедрения аналитических устройств повсюду в сети. Все это усложняется с появлением все новых протоколов и услуг, которые также надо контролировать. Переход к 4G-сетям неразрывно связан с переходом к модели Сетевого мониторинга 2.0, в рамках которой в сети создается отдельный слой распределенного захвата трафика.

Что же такое Сетевой мониторинг 2.0 и чем он отличается от Мониторинга 1.0?
Мониторинг сети  - это сложный комплекс аппаратных и/или программных систем, который следит за сетевыми компонентами корпоративной или операторской инфраструктуры. Особенно важен качественный мониторинг трафика для операторов связи и не только для обеспечения качества услуги, но и для предотвращения мошенничества. Источником первичной информации для систем мониторинга являются различного вида сетевые ответвители (taps), позволяющие захватывать  трафик и передавать его в системы анализа без влияния на сетевые процессы. Традиционно системы мониторинга поставляются с собственными подсистемами захвата трафика и это оправданно, когда различные сервисы в сети используют различный транспорт.
Сегодня архитектура сети становится все более «плоской», поскольку инфраструктура строится практически целиком на IP, и в то же время количество сложных гетерогенных устройств в сети также увеличивается, растут и объемы трафика. При традиционном подходе системы мониторинга должны не только заниматься своим прямым делом - анализом траффика, но и неблагодарной задачей поиска этого трафика в гигабитах "сопутствующих" данных. В это время и появляется необходимость в "умных" системах захвата способных разобрать большие объемы захваченого трафика и раздать их частями в соответствующие системы мониторинга. Так появилась концепция Мониторинга 2.0.
В концепции Мониторинга 2.0 сетевые ответвители больше не рассматриваются как отдельные устройства, а являются распределенной сетевой платформой «умных» элементов, действующей как единая система захвата трафика. При этом создается единый выделенный слой захвата и адресной избирательной доставки трафика для всех систем мониторинга. Ключевую роль в этой системе играют именно «умные» ответвители.

К единому слою захвата трафика могут быть подключены любые средства мониторинга, работающие по IP, и не обязательно в в том же месте, где происходит захват. Больше нет необходимости расставлять элементы систем мониторинга по всей сети, в каждой точке контроля. Но это работает только в том случае, если система захвата трафика будет распределенная и отдельные ответвители будут взаимодействовать друг с другом как единая система. Платформа при этом «подгоняется» и масштабируются под каждую конкретную сеть Подобные ответвители не влияют на функционирование инфраструктуры и легко устанавливаются по всей сети.
Такая схема позволяет осуществлять предварительную обработку и очистку перехваченного трафика перед передачей его в инструменты мониторинга и анализа. Целый ряд мониторинговых систем сориентирован на определенные приложения и их интересует только определенный тип IP-трафика с конкретных устройств. Для этого используются такие функции системы, как фильтрация по портам, IP-адресам, интерфейсам, выборочная агрегация, маркирование трафика по портам или времени и другие.

Возможно, одной из наиболее важных характеристик Сетевого мониторинга 2.0 является способность ответвителей передавать трафик друг другу, формируя, таким образом, гибкую систему. Это очень важно, поскольку в сложных конфигурациях такие элементы могут обеспечивать «самолечение», маршрутизация захваченного трафика будет оптимизироваться от порта захвата к порту мониторинга внутри системы в зависимости от нагрузки. Причем доставка захваченного трафика может производится и с использованием инкапсуляции в IP.
Путем создания единого слоя захвата трафика все средства мониторинга могут быть консолидированы в едином месте. При этом будут ликвидированы «слепые пятна», поскольку нет необходимости подключения систем мониторинга непосредственно к сети, а доступ их к трафику осуществляется через слой захвата. Подобная централизация сразу приводит к упрощению сетевой архитектуры и значительному уменьшению количества необходимых устройств.
Распределенный на всю сеть слой захвата трафика практически не применяется в Сетевом мониторинге 1.0. Централизация систем в системе Мониторинг 2.0 позволяет получить беспрецендентный уровень прозрачности сети. При этом архитектура платформы за счет предварительной обработки трафика позволяет  использовать оптимальные по производительности инструменты мониторинга (например, уже установленные системы анализа 1G-трафика для анализа 10 G-трафика). Захваченный и прошедший предварительную обработку трафик может также проходить через границы WAN, обеспечивая при этом централизованное управление.
В сентябре 2011 г. под эгидой Multiservice Forum был проведен VoLRE Interoperability Test в компаниях Vodafone (в Дюссельдорфе) и China Mobile (Пекин). Сценарий тестирования подразумевал последовательное тестирование различного сетевого оборудования и систем мониторинга в различной комбинации. Опыт предыдущих тестов показал, что значительную долю времени занимает физическое переподключение оборудования. Для ускорения данного процесса впервые была применена распределенная система захвата трафика (DTCS) производства VSS Monitoring. Тестирование показало, что применение подобных систем не только позволяет обеспечить эффективный мониторинг уже построенных сетей, но и способствует ускорению процесса интеграции и внедрения новых технологий и коммуникационных систем.
 
Путем централизации инструментов мониторинга и применяя интеллектуальные средства на уровне захвата трафика (балансировка нагрузки, фильтрация, выборочное агрегирование и т.п.) можно добиться значительного повышения эффективности мониторинга. Становится возможным сквозное разрешение сетевых проблем, что приводит существенному уменьшению времени отклика на проблемы и их исправления.
Мониторинг 2.0 означает также возможность легкого масштабирования всей системы по мере изменения параметров сети. Общая стоимость системы значительно ниже, чем в случае использования не систематизированного подхода с внедрением большого количества различных устройств для мониторинга. Меньшие затраты на обслуживание и сокращение времени на разрешение проблем приводит к уменьшению операционных расходов и, в итоге, быстрой окупаемости.

• В качестве примера специализированного устройст, полностью соответствующего концепции Мониторинг 2.0 можно привести Optimizer LTE компании VSS Monitoring. Это устройство разрабатывалось специально для сетей 4G и имеет 2  XFP-порта и 16 портов UTP 10/100/1000 (все порты конфигурируются как TAP/SPAN/Monitor или Stack-порт).Система поддерживает протоколы IP 4G/LTE (такие как SIP, RTP, GTP v1/v2, GRE. Оно обеспечивает все потребности в захвате трафика для операторов, причем не важно откуда нужно взять трафик - с системы доступа, транзита или ядра.

Отметим, что существует ряд сопутствующих тенденций, которые требуют совершенного иного, чем сейчас взгляда на потребности и параметры мониторинга.
Это, в частности, тенденция «выравнивания» сети, когда постепенно все сетевые системы начинают работать на базе IP. При этом количество распределенных IP-устройств и IP-сервисов в сети увеличивается, возникает все больше точек потенциальных аварий, и требуется все больше точек мониторинга. Отметим, что в концепции Мониторинга 2.0 эти точки могут быть использованы различными системами одновременно.
Вторая тенденция, это быстрое технологическое развитие, которое требует создание гибкой и «умной» структуры мониторинга. Уже сейчас требуется мониторинг трафика на уровне пользователей и на уровне контроля, которые поведенчески существенно различаются. В ближайшем будущем ожидается переход к сетям в 40 GigE, а затем и 100 GigE. Концепция же Мониторинга 2.0 позволяет использовать в системе инструменты, которые работают на более низких скоростях, что это значительно оптимизирует процесс «перевооружения» систем мониторинга.
Приложение 1.
Преимущества Сетевого мониторинга 2.0

• Единый слой захвата трафика
  • Единая точка мониторинга
  • Централизованное управление
  • Полная визуализация
• Встроенная маршрутизация захваченного трафика
  • «Самоанализ» и автоопределение пути доставки трафика к системам мониторинга
  • Защита от аварий
• Оптимизация/модификация пакетов
  • Аппаратная деинкапсуляция трафика в точках захвата
  • Маркировка трафика (время, порт)
  • Превращение «сырых» данных в готовую для анализа информацию
• Низкая стоимость владения
  • Затраты по мере роста
  • Уменьшение нагрузки на управление
  • Продленная жизнь систем

Ключевым фактором уверенности в получении полноценной информации о всех процессах в сети является понимание того, как анализируемый трафик попадает в средства мониторинга.  Мы полагаем, что сегодня только интегрированная система, такая как VSS Monitoring Distributed Traffic Capture System, имеет достаточные возможности для получения информации о сетевых процессах во всех точках сети.
Ниже перечислены вопросы, которые  позволяют характеризовать возможности масштабной системы захвата трафика сети.
Попробуйте протестировать своего вендора. Задайте ему эти вопросы. Убедитесь, действительно ли он позволяет вам обеспечить централизованный мониторинг всех процессов сети.
 
ВОПРОСЫ

1. Отказоустойчивы ли ваши ответвители трафика для гигабитных медных сетей?
2. Могут ли пользователи соединять ваши ответвители по любой топологии? Могут они соединяться через WAN? Является ли система захвата отказоустойчивой?
3. Ваши ответвители обладают функционалом посессионной балансировки нагрузки контролируемого трафика? Эта балансировка автоматическая? Что произойдет, если контакт будет потерян?
4. Сколько 10 Гб-ответвителей вы предлагаете? Каков диапазон возможного количества портов?
5. Есть ли графический интерфейс пользователя, позволяющий отображать все операции на ответвителе?
6. Поддерживает ли ваша система захвата трафика захват данных на входных портах и на SPAN-портах?
7. Обладают ли ваши ответвители возможностями маркировка трафика (время, порт) на входе в сеть до того, как они произведут очистку трафика?
8. Есть ли у вас техническая поддержка в моем регионе?
9. Чем качественно отличается ваша технология захвата трафика, какие возможности она предоставляет?
10. Могут ли ваши системы захвата трафика взаимодействовать друг с другом как единая интегрированная система?

 
ОТВЕТЫ VSS MONITORING
1. Отказоустойчивы ли ваши ответвители трафика для гигабитных медных сетей?
Протокол Gigabit Ethernet для таких сетей определяет, что трафик может проходить одновременно в обе стороны, поэтому линейные ответвители не могут быть полностью пассивными. Технология VSS Monitoring  vAssure позволяет уменьшить задержку из-за аварий практически до нуля, позволяя чувствительным к временным параметрам приложениям работать без прерывания. Ответвители без использования этой технологии мгновенно теряют связь, если, например, теряется питание. При использовании vAssure задержка не превышает 30-60 мс. А что сможет противопоставить этому  другой производитель?

2. Могут ли пользователи соединять ваши ответвители по любой топологии? Могут они соединяться через WAN? Является ли система захвата отказоустойчивой?
Соединенные или объединенные в стек ответвители не должны терять пакеты или образовывать единую точку сбоя. Единственными возможностями предотвращения этого  - это:

1. Отказоустойчивость за счет использования топологии полной взаимозаменяемости: при потере связи система ответвителей должна уметь перенаправить копируемый трафик по другому маршруту, включая возможность использования сразу нескольких линий и выбор самых быстрых путей. Все производители, кроме VSS Monitoring,  не предлагают такой функционал и ограничиваются предложением возможности использования последовательной связи или связи типа hub-and-spoke.
2. Посессионная балансировка нагрузки: это балансировка нагрузки множество портов, использующая посессионные критерии, которые соответствуют вашей сетевой среде, при том это не один или два критерия, такие как IP-источник или IP-приемник. VSS Monitoring учитывает 9 критериев, учитывающие даже передачу трафика в средства мониторинга. Сколько параметров учитывает ваш производитель, если он вообще осуществляет балансировку нагрузки?
3. Множество гибких портов: каждый порт может быть портом стека для увеличения полосы пропускания и отказоустойчивости.

 
VSS Monitoring обеспечивает возможность виртуальной связи с помощью технологии vStack+. Эта технология обладает возможностью самопроверки, определяющей разрывы связи и находящей возможности обхода этих разрывов. Эта возможность есть только у системы VSS Monitoring.
Кроме того:

• Связь через весь мир: связь между устройствами должна работать по всему миру через WAN, а не ограничиваться местной сетью.
• Полная доступность: любой распределенный или интеллектуальный ответвитель в линейке производителя должен работать в стеке, а не только одна или две модели.

 
3. Ваши ответвители обладают функционалом посессионной балансировки нагрузки контролируемого трафика? Эта балансировка автоматическая? Что произойдет, если контакт будет потерян?
Балансировка нагрузки VSS - это автоматизированное распределение трафика через мониторинговые порты таким образом, что сетевая сессия не прерывается и цельность пакетов сохраняется.  Некоторые из вендоров используют термин "балансировка нагрузки" для операций, которые в сущности являются фильтрацией трафика.  Вы должны понимать разницу:

• Фильтрация  - это ручное распределение трафика, конфигурируемое администратором. Она не может автоматически адаптироваться к изменяемым условиям, таким как потеря связи или резкий рост трафика.
• Комплексную фильтрацию сложно внедрить. Некорректно сконфигурированный фильтр может вызвать потери пакетов.
• Фильтрация не позволяет  вам выбрать среди различных критериев сессии.

Балансировка нагрузки должна быть отказоустойчива. Если связь теряется, пакеты должны быть перенаправлены без их потери и, если устройства захвата трафика сконфигурированы как стек, без нарушения стека.
 
4. Сколько 10 Гб/с-ответвителей вы предлагаете? Каков диапазон возможного количества портов?
VSS Monitoring сейчас предлагает 23 ответвителей класса 10 Gb, что более, чем  в 5 раз больше, чем любой другой вендор. А вся линейка ответвителей более, чем в два раза превышает размер линейки устройств крупнейшего конкурентного производителя. Здесь можно найти все - от простого устройства класса 10/100 Мб с четырьмя портами до интеллектуальных распределенных ответвителей класса 10 Гб с 30 портами. С этими продуктами можно ознакомиться на http://www.vssmonitoring.com/product+finder.asp.
 
5. Есть ли графический интерфейс пользователя (GUI), позволяющий отображать все операции на ответвителе?
Некоторые производители предупреждают пользователей, что графический пользовательский интерфейс их устройств не следует использовать для сложных действий, таких как фильтрация или соединения портов. Часто даже такие необходимые  конфигурационные установки, как стековые соединения, не доступны в их GUI.
Заставляя пользователей использовать командную строку для сложных операций, производитель значительно усложняет их работу.
 
6. Поддерживает ли ваша система захвата трафика захват данных на входных портах и на SPAN-портах?
VSS Monitoring позволяет осуществлять захват трафика и там и там. Некоторые же производители предлагаю захват трафика только на SPAN-портах, советуя для работы на входных портах использовать системы других вендоров.
Но, прежде чем согласиться на использование только SPAN-портов для захвата трафика, убедитесь, что знаете ограничения этого подхода:

• В зависимости от модели коммутатора и конфигурации SPAN-порты могут терять пакеты, когда коммутатор загружен.
• SPAN-порты потенциально могут снижать производительность коммутатора и терять пакеты при этом.
• SPAN-порты могут скрывать ошибки CRC (cyclic redundancy check), которые полезны для идентификации ошибок пакетов.
• SPAN-порты могут пытаться исправить "плохие" пакеты или добавить пакеты из других линий, не тех, которые контролируются.
• SPAN-порты не могут идентифицировать джиттер, одну из трех основных причин задержки. Только линейные системы захвата трафика в реальном времени могут помочь идентифицировать пакеты при джиттере.

7. Обладают ли ваши ответвители возможностями маркировка трафика (время, порт) на входе в сеть до того, как они произведут очистку трафика?
Технологии VSS Time Stamping и VSS Port Stamping позволяют приложениям систем мониторинга, чувствительным к задержкам, полностью использовать операции очистки такие, как агрегирование, фильтрация и балансировка нагрузки без опасения внести дополнительную задержку в процесс. Это позволяет максимально использовать возможности систем анализа трафика и уменьшить их количество.
Ни один другой вендор  не имеет устройств, позволяющих осуществлять маркировку по времени на входе.
 
8. Есть ли у вас техническая поддержка в моем регионе?
VSS Monitoring оказывает локальную техническую поддержку в Азии через свои офисы в Пекине, Сингапуре и Токио, в Европе в Лондоне, в США, а также через более, чем 50 своих партнеров по всему миру. Сайт компании и основные продуктовые документы доступны на китайском, английском, французском, японском, корейском, польском, русском и испанском языках.
 
9. Чем качественно отличается ваша технология захвата трафика, какие возможности она предоставляет?
VSS Monitoring является разработчиком многих новейших технологий в сфере распределенного захвата трафика. Только устройства VSS обладают:

• Самой быстрой функцией переключения связей в медных Гб-сетях и единственной технологией, которая не вызывает разрывов связи - vAssure.
• Отказоустойчивой системой связи через виртуальную сеть для захвата трафика - vStack+.
• Функционалом маркировки (время, порт) на входных сетевых портах - VSS Packet Optimization.

 
10.Могут ли ваши системы захвата трафика взаимодействовать друг с другом как единая интегрированная система?
Только VSS Monitoring имеет систему распределенного захвата трафика для создания полноценного и гибкого интегрированного решения.  В этом случае сетевые ответвители уже не рассматриваются как отдельные устройства, а образуют распределенную сетевую платформу «умных» элементов, действующую как единая система захвата трафика. При этом создается единый выделенный слой захвата и адресной избирательной доставки трафика для всех систем мониторинга. К единому слою захвата трафика могут быть подключены любые средства мониторинга, работающие по IP, и не обязательно в том же месте, где происходит захват. Больше нет необходимости расставлять элементы систем мониторинга по всей сети, в каждой точке контроля. Но это работает только в том случае, если система захвата трафика будет распределенной и отдельные ответвители будут взаимодействовать друг с другом, образуя единую систему. Платформа при этом подгоняется и масштабируется под каждую конкретную сеть. Подобные ответвители не влияют на функционирование инфраструктуры и легко устанавливаются по всей сети.
 
ВРЕМЯ ОТДЕЛЬНЫХ ОТВЕТВИТЕЛЕЙ ЗАКОНЧИЛОСЬ!
 

Продукт компании VSS Monitoring получил премию журнала INTERNET TELEPHONY за свои выдающиеся характеристики в области IP-коммуникаций для сетей 4G/LTE.

Optimizer 2016 LTE обеспечивает исключительные возможности для мониторинга 4G-сетей, создавая копию сетевого трафика и оптимизируя его для аналитических систем. Его мощные аппаратные возможности обработки данных позволяют передавать все пакеты, необходимые для системы мониторинга, в реальном времени при любых скоростях канала.

Журнал INTERNET TELEPHONY является одним из наиболее авторитетных источников информации в области IP-коммуникаций с 1998 года, количество его читателей составляет в настоящее время 225 000.
 

Авторитетные издания из стран Ближнего Востока - Computer News Middle East (CNME) и Arabian Computer News - по результатам своих исследований назвали компанию Blue Coat лучшим провайдером решений по безопасности в 2010 году и компанией, оказывающей лучшую поддержку корпоративным пользователям, соответственно.
За этот год компания Blue Coat представила на ближневосточном рынке несколько инновационных продуктов и услуг, первое решения класса Secure Web Gateway для IPv6, обеспечивающее плавную и безопасную миграцию приложений, сервисов и данных между IPv4- и IPv6-средами. Другие продукты, которые обратили на себя внимание в этом регионе, это устройства Blue Coat Data Loss Prevention (DLP), обеспечивающие надежную защиту от утечек данных, и системы Blue Coat CacheFlow, позволяющие сервис-провайдерами справляться с задачами, которые несет за собой быстро растущее потребление полосы пропускания.
Что касается сервисной стороны Blue Coat объявила о начале действия сервисной программы Blue Touch для партнеров, позволяющей реселлерам значительно увеличить свои предложения в сфере поддержки и профессионального сервиса для заказчиков.
 

На вебинаре вы можете узнать, как организовать мониторинг сети для обнаружения и прекращения botnet-атак, повторяющихся угроз и другой вредоносной активности в сети предприятия. Здесь вы можете узнать, как самое передовое в отрасли решение по предотвращению botnet-атак от компании Damballa интегрируется с системой Lancope StealthWatch.
 

Подробнее о решении...                                             Регистрация на семинар

Lancope StealthWatch может помочь определить того, кто в вашей сети занимается загрузкой большого количества непродуктивного контента, такого как MP3 или видео.

Используя экран "Zone Top Ten" вы можете видеть:
• Какой хост ответственен за потребление большой полосы пропускания;
• В какой части сети этот хост находится;
• Какую часть полосы пропускания этот хост потребляет;
• Какой сервис при этом используется.
 

Хотите узнать больше? Посмотрите StealthWatch в действии (видео).