Согласно докладу компании Verizon (Verizon Data Breach Investigations Report), 14% всех нарушений совершают инсайдеры. Кроме того, там же сказано, что в 76% проанализированных компанией нарушениях использовались ворованные или легко угадываемые данные аутентификации, которые позволяют получить доступ в сеть, и в 29% - использовались методы социальной инженерии. Это делает инсайдеров ключевой проблемой, с которой сталкивается сетевая безопасность.

Сетевая визуализация
В то время, как превентивные технологии безопасности и опыт применения, такой как защита периметра, контроль доступа, шифрование данных и обучение пользователей, и могут хорошо работать, но они не срабатывают при инсайдерских угрозах. Подобная защита не срабатывает против угроз, когда преступники уже имеют привилегированный доступ в сеть и им не надо использовать вредоносный код или специализированное ПО для осуществления атаки. Чаще всего единственным реальным методом идентификации и предотвращения подобного нарушения является система полной визуализации того, что происходит внутри сети. Получение полного аудита всей сетевой активности позволяет организации быстро обнаружить аномальное поведение, которое может сигнализировать о возникновении риска.
Различные технологии, такие как файервол, SIEM, IDS/IPS, захват пакетов и NetFlow могут фиксировать сетевую активность для получения знания того, что происходит в сети. Конечно существуют различия в этих технологиях и очень важно рассматривать преимущества и недостатки каждого подхода.

Преимущества NetFlow
Как показано на рисунке ниже, NetFlow обеспечивает очень обширный, эффективный с точки зрения стоимости и легкий метод получения полной картины сетевой активности. NetFlow позволяет взглянуть на все транзакции, происходящие в сети, и быстро обнаружить подозрительную активность, такую как email с большими приложенными файлами, отсылаемые в посторонние адреса или необычно большой трафик на принтер (что свидетельствует о воровстве данных или инфильтрации).

Если использовать новейшие технологии типа Lancope’s StealthWatch System, NetFlow-мониторинг может также обеспечить дополнительные возможности анализа контекста, включая получение информации об устройствах, приложениях и идентичности, с целью дополнительного анализа и быстрой реакции на инциденты. Lancope также объявила о новой мониторинговой функциональности с акцентом на пользователей, которая позволяет администраторам исследовать поведение сети и аномалии, с учетом конкретных имен пользователей.


Лучший способ обнаружения и предотвращения инсайдерских угроз - это иметь возможность глубокого обзора внутренней среды и использования инструментов фильтрации и приоритезации в массивных объемах данных для точного анализа. В этом главная цель и преимущества StealthWatch. Хотя только технологией невозможно решить проблему инсайдерских угроз (тут должны быть совместные усилия подразделений IT, HR и юристов), NetFlow может обеспечить решение ключевой части этой проблемы.

Распределенные атаки типа "отказ от обслуживания" (distributed denial-of-service, DDoS) впервые появились в новостях в декабре 1999 года; и этот случай был связан с системой trin00, основанной на использовании ботнета. Эти атаки сегодня эволюционируют, но принцип остался прежним: сотни и тысячи географически распределенных хостов начинают бомбардировать пустыми запросами сервера, после чего последние начинают испытывать перегрузку и не могут своевременно обрабатывать легитимные запросы. Все это время производители пытаются разработать продукты, которые эффективно противостоят DDoS.

Проблемы обороны от DDoS

Защититься от DDoS сложно по следующим трем основным причинам.

• Врожденные уязвимости сети
  Во-первых, в этом случае нет уязвимостей сети, которая используется преступниками. Атака успешна потому, что в природе всех компьютерных платформ существует некий порог доставки. Компьютеры, кластеры или облачные системы - все они имеют физические ограничения по количеству запросов, которые они могут обрабатывать в заданное время. Успешная атака DDoS должно просто генерировать достаточное количество трафика, чтобы превысить это пороговое значение. Большая часть других атак может быть отражена путем использования специальных патчей, конфигурацией систем безопасности или изменение политик. Но ни один из этих подходов не поможет противостоять DDoS. Службы должны быть всегда доступны и, значит, уязвимы для атак.
• Невозможность заблокировать толпу
  DDoS очень сложно заблокировать, поскольку существует очень много источников атаки. Очень трудно обеспечить эффективную блокировку длинного списка атакующих IP-адресов. Потенциально тысячи адресов должны быть временно добавлены в черный список для того, чтобы остановить атаку. Если атакующий использует метод, прикрывающий атаку вполне легитимными хостами (spoofing), то в черный список могут попасть и невинные хосты.

• Поиск виновных
  Тут мы сталкиваемся с третьей проблемой: очень сложно определить, какие пользователи делают вполне законные запросы, а какие участвуют в DDoS. Поскольку все компьютеры, получающие доступ к услугам, создают нагрузку на сервер, то они все и участвуют в атаке, даже не зная об этом. Нужна очень аккуратная проверка, чтобы определить, какие клиентские хосты "хорошие", а какие "плохие". Нужно сделать много расчетов и сделать их быстро, прежде чем будут приняты какие-либо решения.

Когда все меры не помогают

Современные DDoS-атаки заставили специалистов задуматься, почему их обычные механизмы предотвращения таких атак не работают. Суть в том, какой бы механизм защиты не использовался, если у атакующих есть масса времени для его исследования, то он будет преодолен.
Сейчас преступники стали лучше финансироваться и создают более сложные инструменты атак, чем раньше. Они могут купить точно такие же механизмы защиты, которые используются внутри корпорация, и начать разрабатывать методику для их преодоления. Распределенные каналы и ботнеты позволяют очень быстро начать такую продвинутую DDoS-атаку. Роль постоянного наблюдения за поведением сети становится в этих условиях особенно критичной, когда понимаешь, как атакующие проводят свои атаки.
Сетевое обнаружение аномалий
Подобных систем не так уж и много на рынке, и одной из наиболее продвинутых является Lancope StealthWatch. Это устройство создает "снимок" (базовую отметку) нормального трафика для каждого сетевого хоста, группы хостов и определяет взаимоотношения между хостами. Подобный подход позволяет StealthWatch сигнализировать при следующих условиях, ассоциирующихся с DDoS:

• Высокий индекс мишени. Каждому хосту присваивается значение, соответствующее уровню подозрительной активности, которая направлена на него. Это позволяет получить список приоритетных активов, которые находятся в максимальной опасности.


• Время отклика сервера. Используя устройства FlowSensor и FlowSensor VE, система StealthWatch может сигнализировать, когда веб-сервер или сервер баз данных начинает захлебываться.


• Количество пакетов в секунду. StealthWatch может отображать чрезмерное количество трафика, направленное на сетевые ресурсы.


• Закупорка интерфейса. Метрики уровня производительности интерфейса постоянно контролируются, обеспечивая просмотр атаки на физическом уровне.


• Максимальное количество обслуживаемых потоков. Каждый сервер создает базовые параметры нормального объема соединений. Когда этот порог преодолевается, оператор StealthWatch получает соответствующий сигнал.


• Максимальное количество получаемых SYN. Когда сервер начинает получать "нездоровое" количество пакетов TCP SYN, можно использовать раннее предупреждение об этом.


• Высокий общий трафик взаимосвязей. Когда создается такое количество HTTP-запросов, которое превышает возможности сервера баз данных, то появляется сигнал о несоответствии взаимного количества запросов-ответов, показывающий проблемы на таком уровне, на котором другие системы борьбы с DDoS не работают.


• Активность нового хоста. Легитимные пользователи веб-сервисов имеют тенденцию к регулярности своих визитов. Атакующие хосты не имеют привычки задерживаться или возвращаться на "место преступления". StealthWatch может различать эти два типа пользователей.


• High Concern Index. Это собственная методика Lancope, которая заключается в том, что такой индекс (показатель) опасности позволяет определять приоритет подозрительной или аномальной активности, проистекающей от хоста. Внешние "агрессоры" вызывают появления сигнала от High Concern Index, когда компьютеры, к которым они хотят подключиться, будут иметь низкий индекс.


• Максимальное количество инициируемых потоков. Зная количество потоков в минуту, которое создает легитимный пользователь при доступе к сервису, StealthWatch будет сигнализировать о хостах, которые будут показывать превышение такой нормы.

Заключение

DDoS - это один из видов атак, которые организация может обнаружить, даже не имея соответствующей сетевой системы наблюдения за трафиком. Но без надежного и интеллектуального мониторинга сети практически невозможно противостоять такому событию. DDoS - это тот тип атак, который все еще продолжает наносить вред компаниям и организациям. Продолжающаяся эволюция инструментов DDoS и широкое распространение этих угроз среди хакеров и компьютеров в масштабных ботнетах требует использования не только решений, способных уменьшить их воздействие, но и решений, обеспечивающих визуализацию сети, что, в свою очередь, облегчает пробраться через туман, который поднимается при атаке класса "отказ от обслуживания".

Недавно был опубликован очередной Магический квадрант аналитической компании Gartner, на этот раз посвященный современным корпоративным файерволам. В связи с резким ростом числа сложных сетевых угроз многие компании теперь по другому смотрят на эти устройства. В последнем Магическом квадранте компании Gartner эти изменения видны невооруженным взглядом.

Интересно, что четыре из пяти производителей файерволов из верхней половины квадранта поддерживают экспорт NetFlow или IPFIX (Check Point, Cisco, Juniper и Palo Alto Networks). Некоторые производители из нижней части квадранта, такие как Barracuda, Dell-SonicWALL и Sophos также поддерживают эти технологии. Т.е. функциональность файеволов главных мировых производителей существенно изменилась.
Напомним, что недавно компания Gartner утверждала, что при организации защиты сети анализ потоков должен занимать 80% времени, а захват пакетов пробами (зондами) - только 20%. Поскольку большинство файерволов первоначально фокусировались на защите сети от внешних соединений, технология сбора потоковой информации может использоваться для контроля внутренних соединений, а также ряда параметров, создаваемых хостами. Это, согласно докладу аналитиков Mandiant, особенно важно, когда пытаешься обнаружить современные продвинутые угрозы (advanced persistent threats, APT). 
Поскольку данные NetFlow и IPFIX потоков представляют 100% коммуникаций, они могут также использоваться  и для сравнения IP-адресов с базой IP-репутации для проверки коммуникаций с уже известными скомпрометированными хостами. Этот процесс контроля не может быть надежно применен с использованием экспорта sFlow, как это сделано в Fortinet. Это к вопросу о давнем споре о том, что лучше - sFlow или NetFlow. "Единственные люди, которые говорят, что sFlow лучше, чем NetFlow, это те, кто не использовал и то, и другое и не смог увидеть разницы, - утверждает бывший технический директор (CTO) компании Lancope Адам Пауэрс (Adam Powers). - Война sFlow с NetFlow уже давно не ведется".
Сбор потоков с файерволов, маршрутизаторов и коммутаторов также обеспечивает уверенность, что история всех коммуникаций, как извне, так и внутри вашей сети будет сохранена. Даже, если ваша защита будет преодолена, потоковые данные позволят получить информацию, с кем коммуницировали зараженные хосты, а также другие важные данные, такие как имена пользователей, URL, адреса email и многое другое.

Согласно декабрьскому (2012 г.) отчету Gartner примерно 85% случаев нарушения безопасности прошли полностью незамеченными в корпоративных сетях. Процент кажется завышенным, но дальнейшая статистика объясняют, почему это так. Среди инцидентов, которые были обнаружены, 92% событий не были замечены пострадавшими организациями. Они были выявлены сторонними лицами, в частности, репортерами или при вымогательствах, которыми занимались сами атакующие.

 

История систем наблюдения за сетью

Хакеры-тяжеловесы против защитников в весе пера

 

Сбалансированная безопасность

 

Учиться у систем физической безопасности

 

Что вы имеете в виду, говоря, что меня ограбили?

 

Самооценка

• Какой объем P2P- или Onion Routing-трафика крутится в моей сети?
• Какие хосты в моей сети подключены к известным серверам бот-сетей?
• Какие пользователи моей сети пытаются получать доступ к информации, которой они не должны интересоваться?
• Сколько информации покидает мою сеть и передается в сети конкурентов?

 

Проверка исполнения правил

 

Информированная реакция

 

Ищите странности

 

Заключение

Угрозы инсайдеров становятся все более серьезными. За последние несколько лет мы видим постоянный поток сообщений об инцидентах, связанных с нарушением своих обязательств и прав авторизованными пользователями, которые намеренно саботируют свою компанию и передают информацию конкурентам. Одновременно изменяется и бизнес-среда, которая все больше полагается на аутсорсинг, подрядные компании и сторонние технологические платформы, что приводит к тому, что ценная бизнес-информация становится доступной все большему количеству людей. В случае инсайдерских утечек контроль доступа и защита периметра не помогут, вредитель уже находится внутри периметра. Нужно что-то другое...
Вот пять шагов, которые необходимо предпринять для противодействия подобным угрозам:

• Разработать детальный процесс закрытия доступа в сеть сотруднику. Это кажется простым и очевидным вопросом, но множество организаций имеют "дыры" в этом процессе, что мешает закрыть определенные аккаунты или обнаружить и "обрубить" активное соединение в то время, когда сотрудник покидает организацию.
• Создать систему "сдержек и противовесов" для системных и сетевых администраторов. Административный доступ ко всем системам и устройствам следует предоставить более, чем одному человеку, но необходимо исключить совместное использование одних и тех же логинов и паролей, поскольку совместно используемый аккаунт сложно контролировать и аннулировать.
• Работать совместно с руководителями для идентификации недовольных сотрудников. IT-мониторинг и обнаружение нарушений должны рассматриваться как "воздушная поддержка" для усилий менеджмента "на земле" по идентификации людей, кто чем-то недоволен или уже занимается мошенничеством. Неправильное использование компьютерных ресурсов очень часто может быть связано с другим "странным" поведением на работе.
• Обратить внимание на аудит доступа к системам и сетевую активность перед увольнением сотрудника. Большая часть активности инсайдеров происходит в то время, когда сотрудник находится уже на пороге увольнения, и эта активность часто определяется путем проверки информации логов, включая традиционный Syslog, а также NetFlow и другие аналогичные технологии.
• IT не должны решать проблемы инсайдерских угроз в одиночку. Это междепартаментная проблема, которая требует взаимодействия между IT, HR, юристами и управлением компании. Только так можно идентифицировать "потенциально опасных" сотрудников, не нарушая при этом права людей на приватность.

С точки зрения технологий единственный путь предотвращения такого рода атак, это иметь возможность "видеть", что инсайдеры делают в сети, т.е. контролировать нестандартное сетевое поведение. Такое, как необычно большой объем передачи данных или попытки доступа в зоны ограниченного доступа. Более подробную информацию на эту тему можно получить здесь: http://www.lancope.com/solutions/security-operations/.

Lancope объявила, что ее продукт StealthWatch обеспечивает возврат инвестиций (ROI) в размере 259% в течение трех лет, согласно исследованиям Forrester Consulting \"Полное экономическое влияние Lancope StealthWatch\", проведенным в июне 2012 г. В этом исследовании указано также, что StealthWatch окупается за 10 месяцев.
Полный список финансово значимых преимуществ StealthWatch, перечисленный в этом документе, включает в себя:

• Отсутствие затрат, присущих альтернативным решениям
• Экономия затрат на обслуживание при замене сторонних решений
• Уменьшение затрат на определение и исправление инцидентов в сфере безопасности
• Влияние улучшенной прозрачности сети на работу help desk и системы поддержки от tier-one до tier-three
• Выигрыш в продуктивности подразделения обслуживания сети.

19 июля Lancope проводит вебинар, на котором будут обсуждаться результаты этого исследования. Зарегистрироваться на вебинар можно здесь: http://www.lancope.com/news-events/webinars/achieving-259-roi-with-stealthwatch/.
Полный текст исследования можно найти здесь: http://www.lancope.com/resource-center/industry-re...-economic-impact-stealthwatch/

Компания Lancope объявила, что ее флагманская система StealthWatch теперь включает в себя четыре новых информационных панелей для обзора угроз, связанных с сетевым прощупыванием, распространением внутреннего вредоносного ПО, трафиком класса command-and-control (CnC) и утечек данных.
Эти новые специально настроенные информационные панели позволяют организациям отслеживать эти особенно опасные и незаметные для других средств обнаружения кибер-атаки внутри сети.
Эти же информационные панели работают как ключевые компоненты нового решения Cisco Cyber Threat Defence. Это решение, комбинирующее самые лучшие функциональные возможности Lancope и Cisco, обеспечивает беспрецедентные возможности для контроля сети. Путем сбора и анализа NetFlow, IPFIX и других потоковых данных существующей инфраструктуры, StealthWatch обеспечивает глубокий контроль полного спектра внутренних и внешних угроз, с которыми сталкиваются сегодня корпоративные сети. Автоматическая приоритезация угроз и опциональная автоматическая смягчения их влияния решает многие проблемы и уменьшает время между идентификацией проблемы и ее разрешением.
Центром сбора, анализа, графической визуализации и отчетности состояния сети и безопасности для всей сети является StealthWatch Management Console, в рамках которой и работают новые информационные панели. Именно эти панели администраторы теперь могут видеть:

• Сетевое прощупывание - зондирование сети для определения возможностей, которые затем будут использованы для настраиваемых кибер-атак
• Распространение внутреннего вредоносного ПО - расползание этого ПО по хостам внутри сети, позволяющее получить информацию для прощупывания, украсть информацию или создавать "задние двери" для дальнейшей инфильтрации в сеть.
• Трафик класса command-and-control - коммуникация ботнетов между атакующими и зараженными хостами в сети
• "Просачивание" данных - экспортирование конфиденциальных данных в сторону атакующего, как правило с помощью коммуникаций типа command-and-control

Этот новый уровень интеллектуального контроля позволяет обеспечить возможность аналитику безопасности точнее скорректировать свои дальнейшие шаги для исключения любого типа риска.

Противостояние этих двух устройство очень бурно обсуждается на форуме Cisco. Нас это сравнение интересует исключительно только с точки зреия поддержки NetFlow и IPFIX. Когда речь идет об отчетности для для файервола, нас интересует:

• Традиционная отчетность по потокам
• Отчетность по логам
• Другие интересные данные экспорта потоков (например, имена пользователей)

Что касается отчетности по логам, то почти все файерволы сегодня экспортируют syslogs, а некоторые экспортируют логи в датаграммах NetFlow. Файерволы Cisco ASA и SonicWall, например, поддерживают и то и другое.

Даже учитывая наличие некоторых проблем с экспортом NetFlow у Cisco ASA, мы получаем здесь отличные отчеты на базе NetFlow:

• Крупнейшие потребители трафика, приложения, протоколы и т.п.
• Имена пользователей, что очень полезно для мониторинга безопасности BYOD (мобильных систем)
• Списки контроля нарушений доступа
• Изменения сетевых адресов

Пример отчета для Cisco ASA NSEL:

Juniper SRX не экспортирует логи и если вы посмотрите в конфигурацию J-Flow (аналог NetFlow, используемый компанией Juniper), то это в основном sampled NetFlow. Ну и кому понравится быть ограниченным  только этой возможностью? Это похоже на отчетность по sFlow.
Экспорт NetFlow также очень важен, если мы начинаем заниматься проблемой обнаружения продвинутых постоянных угроз (advanced persistent threats). Многие решения обеспечения безопасности на базе NetFlow
передают потоки в базу данных репутации хостов, чтобы определять коммуникации с известными вредоносными хостами. NetFlow Sampling, к сожалению, может не заметить отдельные угрозы.

Для информации.
Все крупнейшие игроки на рынке файерволов поддерживают технологию анализа пакетов. Cisco ASA, Juniper SRX (sampled), SonicWALL, Barracuda, Palo Alto Networks, Checkpoint и Fortinet (sFlow) - все они используют ее.

По сообщениям прессы, троянская программа поразила более 650 тысяч компьютеров Mac, напугав пользователей, которые чувствовали себя вне опасности в отличие от пользователей Windows. Учитывая это, предприятиям, которые используют в работе мобильные устройства (bring-your-own-device, BYOD), необходимо укрепить свою защиту.
Компанию Apple всегда критиковали за медленный выпуск обновлений, связанных с критическими проблемами безопасности. Поскольку рыночная доля Apple постоянно увеличивается, пользователям, предприятиям и собственно Apple должны быть готовы росту количества и опасности атак, направленных на операционную систему Mac OS X.
В сегодняшних условиях размывания сетевого периметра и возрастания количества мобильных устройств в сетевой среде администраторам становится все труднее контролировать и защищать сеть . Сотрудники хотят иметь возможность использовать в работе любое устройство, которое им больше подходит, включая и домашний Mac. И, естественно, они будут входить в сеть с помощью этих устройств, тем самым подвергая значительному риску безопасность корпоративной информационной системы.
И как тогда администратор может помешать троянцу, такому как Flashback, пройти сквозь границы корпоративной сети, не имея возможности контролировать устройства, которые пользователи принесли с собой на работу? А также без возможности указывать им, какие инструменты обеспечения безопасности они должны инсталлировать на своих устройствах?
Единственное решение, которое позволяет решить проблему обеспечения безопасности при масштабном использовании BYOD, является NetFlow. Система, анализирующая данные NetFlow, позволяет глубоко просматривать процессы и активности, которые происходят во всей сети. Именно так можно получить возможность  контролировать любое устройство, получившее доступ в сеть - без необходимости инсталлировать какое-либо ПО или устанавливать дорогостоящие пробы (зонды).
Например, система мониторинга потоков Lancope StealthWatch путем сбора ценной информации о персональных устройствах, включая тип устройства, идентификационные данные пользователя, безопасность ресурсов, к которым обращается устройство, физическое расположение устройства, может эффективно обеспечить безопасность и гарантировать, что мобильные устройства не загружают конфиденциальные данные или не заражают вредоносным ПО другие системы.

По данным компании Lancope

NetFlow VoIP Monitoring часто требует контроля QoS или значений DSCP. Ниже приведена некоторая статистика, которая может быть получена, когда осуществляется мониторинг сетевого трафика с помощью Flexible NetFlow.

Контроль VoIP с помощью NetFlow

Время "туда и обратно": время прохождения сигнала от хоста A до хоста B. Маршрутизатор измеряет это путем наблюдения за TCP hand shake между SYN, SYN ACK и ACK.
Время жизни: Эта метрика показывает максимальное количество hops, какое позволяет датаграмма. Это значение уменьшается по мере прохождения через каждый очередной маршрутизатор. Когда значение становится равным нулю, оно не будет пересылаться.
Джиттер: Статистика о вариациях задержки пакетов, вызванных очередями, конкуренцией и передачей по частям при прохождении сети. Для выравнивания задержек могут использоваться буферы, но слишком большая буфферизация увеличивает задержку и мешает нормальному показу интерактивного видео.
Потери пакетов: Потери пакетов быстро отражается на слышимости и видимости. Вследствие особой природы видео-компрессии, одиночная потеря пакета может вызвать многосекундные артефакты, видимые на экране. Потери могут вызываться плохой связью (обычно в последней миле, либо при беспроводной связи), изменениями маршрутизации в сети или массой других причин.

Если вам необходимо контролировать VoIP, то забудьте традиционный экспорт NetFlow. Для того, чтобы получать подобные метрики, используйте Flexible NetFlow.

NetFlow v5 предоставляет нам возможность взглянуть в глубину сетевого трафика, NetFlow v9 дает еще больше средств, Flexible NetFlow является, хм..., flexible, ну а IPFIX что дает нам по сравнению с NetFlow?
Сейчас несколько вендоров уже поддерживают IPFIX. Это:

• Juniper
• Lancope
• Nortel
• SonicWALL
• Extreme
• NTOP
• Plixer

Итак... Коммутаторы, файерволы, программное обеспечение. Да, достаточно большой набор устройств, которые могут поставлять информацию в коллекторы IPFIX.
Сравним два варианта экспорта.   Далее...

По мере роста корпоративной сети ею становится все более трудно управлять. Вы теряете возможность отслеживать процессы, которые в ней происходят, вы тратите деньги и силы, стараясь сохранить ее работоспособность. Для того, чтобы решить эти и многие другие задачи, появились системы, позволяющие контролировать и анализировать все происходящее в сети. Что же могут такие системы? Рассмотрим это на примере одной самых популярных и мощных систем контроля сетевого трафика на базе анализа данных NetFlow - Lancope StealthWatch.

Знаете ли вы, что ваши сотрудники 20% рабочего времени тратят на развлечения? Внедрение системы мониторинга и анализа сетевого трафика поможет обнаружить нежелательные сервисы, такие как использование P2P, участие в онлайновых играх, переписка в системах мгновенных сообщений, возможно также обнаружение нетипичных передач информации.

Знаете ли вы, что раннее обнаружение аномалий или атак может предотвратить события (и связанные с этим затраты), которые способны нанести вам материальный или репутационный ущерб? Система постоянного контроля сетевого трафика вполне эффективно справляется с предотвращением подобных проблем.

И это только немногое из того, что могут такие системы. Далее...

Компания Lancope объявила, что ее флагманский продукт StealthWatch теперь может анализировать сеть, включающую и мобильные устройства, обеспечивая таким образом высокий уровень защищенности в среде т.н. bring-your-own-device (BYOD).
Используя возможности анализа информации с мобильных устройств, собранной через существующую сетевую инфраструктуру, StealthWatch без дополнительных затрат и необходимости установки дополнительного ПО или оборудования может детектировать все события, источником которых являются любое устройство в сети.
Традиционные механизмы определения угроз, такие как пробы, антивирусы и IDS/IPS очень быстро становятся слишком дорогими и неэффективными в среде BYOD. В отличие от этих технологий, StealthWatch использует NetFlow и другие потоковые данные, получаемые из сетевой инфраструктуры, для обеспечения полномасштабной визуализации всех процессов в условиях резко меняющейся сетевой среды и высокой степени риска.
"Мобильные пользователи очень часто подвергают риску корпоративную безопасность сети и сегодня становится очень сложно, а часто и вовсе невозможно, устанавливать систему безопасности для кажого нового устройства, - говорит Джо Ягер (Joe Yeager), директор по продукт-менеджменту компании Lancope. - "Около 75% компаний позволяют своим работникам применять личные мобильные устройства на работе, и теперь наступило время для систем, подобных StealthWatch, которые используют возможности существующей инфраструктуры для обеспечения мониторинга действий любых устройств, которые подключаются к сети".
Традиционные механизмы определения угроз, такие как пробы, антивирусы и IDS/IPS быстро становятся слишком дорогими и неэффективными в среде BYOD. В отличие от этих технологий, StealthWatch использует NetFlow и другие данные потоков, получаемые из инфраструктуры, для обеспечения полномасштабной визуализации сети в условиях резко меняющейся сетевой среды и высокой степени риска.
Используя возможности сложного поведенческого анализа, StealthWatch может фиксировать аномальное поведение в любом месте сети, включая и персональные смартфоны, планшеты или ноутбуки. Таким образом появляется возможность быстро и легко отражать внешние атаки, такие как ботнеты, черви или угрозы продолжительного действия, а также фиксировать внутренние риски, включая неправильное использование сети, нарушение политик безопасности, утечки данных. И при этом независимо от того, какие устройства используются для этого.

Дистрибутором Lancope в России является компания Web Control.

Компания Palo Alto Networks предполагает в ближайшее время ввести поддержку NetFlow в свои продукты. Разработчики компании не только поддерживают традиционный функционал NetFlow, но и функцию глубокого анализа пакетов (DPI, Deep Packet Inspection) для идентификации приложений, таких как Skype, BitTorrent, Webex и др. Многие из современных средств анализа NetFlow ошибочно идентифицируют этот трафик как HTTP (TCP 80). Cisco NetFlow NBAR - это подобная технология, которая делает мониторинг сетевого трафика более информативным, особенно при попытке проведения анализа причин событий. Этой функции в экспорте Cisco ASA NetFlow нет.

Как можно увидить из скриншота экспортируется и имя пользователя. Поддержка этого функционала объявлена в Palo Alto Networks OS v4.1.
Более подробно о NetFlow можно узнать в www.netflowfaq.ru

В отчете приведены примеры (best practices) трансформации корпоративных сетей при использовании данных потоков в настоящем и будущем.
Доклад "The State of NetFlow: Advancing Security and Performance through Network Visibility" содержит экспертные комментарии ведущих специалистов Lancope, конечных пользователей NetFlow и других известных отраслевых экспертов. В отчете содержится много полезной информации о том, как использовать мощь потоковых данных для того, чтобы повысить уровень безопасности и производительности сети. Доклад можно скачать по следующему адресу: http://www.lancope.com/resource-center/industry-reports/state-of-netf....
Далее... (http://www.lancope.com/news-events/press-releases/...-network-security-performance/).

Компания опубликовала аналитический прогноз на 2012 год, где упомянуты пять основных угроз в области информационной безопасности. Эти предсказания касаются основных типов атак, которых следует ожидать в будущем году, и объясняют какой риск несут эти атаки.В 2011 году многие организации пострадали от подобных атак - вспомним только публикации WikiLeaks или атаки Anonymous и LulzSec. В следующем году следует ожидать подобной ситуации, если не более тяжелой.

Главные пять угроз по версии Lancope в 2012 году - это:
1. Продвинутые непрерывные угрозы (Advanced persistent threats, APTs) будут преобладать.
2. Потери от инсайдерской деятельности будут увеличиваться.
3. Атаки на промышленные системы останутся на том же уровне.
4. Угрозы, связанные с ошибочными действиями персонала, будут создавать постоянный риск.
5. Количество полностью автоматизированных атак будет уменьшаться.

Далее...

Как правило, TAP (Test Access Port) не играют никакой роли в анализе и отчетности о сетевом трафике. Эти устройства созданы, чтобы транслировать данные в системы класса IDS или сниферы пакетов. Компания NetOptics намерена изменить эту ситуацию, выведя на рынок свой новый AppTap. AppTap обладает характеристиками, которые мы ожидаем от традиционных TAP: его устанавливают inline, он копирует фреймы Ethernet в порты мониторинга и при отключении просто превращается коннектор Cat-5, не мешая потокам трафика.

Но AppTap делает не только это. Этот TAP действительно анализирует сетевой трафик, предоставляя возможность получения отчетности о полосе пропускания и сетевой производительности прямо через свой веб-интерфейс. Далее...
 

Существуют две причины использовать NetFlow для оптимизации WAN. Наиболее простым и общим случаем является возможность использования инструментов на базе NetFlow для оценки возможностей по ускорению/оптимизации производителя, которого вы выбираете.

Мне кажется важным предложить вам исследовать ваши потребности, прежде чем вы примите решение. NetFlow может быть великолепной возможностью для определения ваших действительных потребностей. Понимание типов трафика, который проходит через вашу WAN, позволит вам принять более обоснованное решение.

Какой процент трафика, проходящего внутри вашей WAN, имеет отношение к вашему бизнесу?

Если вы обнаружите, что более, чем 50% вашего трафика составляет нежелательный веб-трафик, то простое использование DSCP и очередей на базе классов позволит вам решить проблемы производительности для бизнес-приложений.
Далее...
 

Согласно отчету аналитической компании Forrester , 48% атак на корпоративные данные в 2009 году были осуществлены внутренними инсайдерами, что на 26% превышает показатели 2008 года. Быстро развивающаяся IT-консумеризация, мобильный интернет разрушают информационную защиту предприятий и аналитики сегодня все больше думают о том, как контролировать и защищать внутреннюю сеть, а не только периметр.

Этот отчет Forrester, носящий название "Вытащите свою голову из песка и обернитесь: рассмотрим возможности анализа и обеспечения прозрачности сети", посвящен дискуссии о механизмах мониторинга сети и пользе, которую он приносит. Forrester рассматривает технологии класса NAV (Network Analysis and Visibility), такие как те, которые используются в Lancope StealthWatch.

Далее...
 

Все больше производителей начинает поддерживать NetFlow в своих продуктах. В частности, SonicWall недавно добавила поддержку NetFlow v5/v9/IPFIX в свою операционную систему SonicOS Enhanced v5.8.

Специалисты Lancope проверили новую систему и убедились - она работает. Теперь вы легко можете конфигурировать файервол SonicWall, который работает под управлением SonicOS v5.8, для передачи потоков в систему анализа данных StealthWatch . Теперь немного о деталях...

Рассмотрим настройку SonicWall и его механизм экспорта потоков в действии.
 Далее...