-Поиск по дневнику

Поиск сообщений в Web_Control

 -Подписка по e-mail

 

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 02.07.2010
Записей:
Комментариев:
Написано: 84

Отчет Gartner 2012 г. говорит о катастрофическом состоянии сетевой безопасности в мире

Дневник

Вторник, 29 Января 2013 г. 12:33 + в цитатник

Великая китайская стена/3867803_greatwall1 (600x450, 102Kb)Согласно декабрьскому (2012 г.) отчету Gartner примерно 85% случаев нарушения безопасности прошли полностью незамеченными в корпоративных сетях. Процент кажется завышенным, но дальнейшая статистика объясняют, почему это так. Среди инцидентов, которые были обнаружены, 92% событий не были замечены пострадавшими организациями. Они были выявлены сторонними лицами, в частности, репортерами или при вымогательствах, которыми занимались сами атакующие.

Кроме того, проводя "обратный анализ" атак типа zero-day, лаборатория Symantec Research определила, что среднее время, которое требовалась для обнаружения угрозы после ее внедрения в сети организации, составляло 312 дней, самое длительное время при этом составляло 30 месяцев. Все это позволяет сделать вывод, что организации не используют интеллектуальных средств обнаружения угроз.

 

История систем наблюдения за сетью

Эволюция сетевой безопасности происходила необычным, извилистым путем, в результате которого мы оказались там, где мы есть. Между 2000 и 2005 годами у нас были годы любви с системами обнаружения вторжений (Intrusion Detection Systems, IDS). Эти системы были созданы для определения причин "плохого поведения" сетей. Основная проблема, заключенная в IDS, состояла в том, что ее использование требовало наличия команды опытных операторов, которые могли бы интерпретировать подозрительные факты в сети и правильно на них реагировать. Количество существующих талантов было значительно меньшим, чем требовалось, система их обучения только разрабатывалась и, что самое важное, бизнес решил не вкладывать деньги в создание своих собственных талантов в этой сфере.

Хакеры/3867803_anonimous (640x480, 26Kb)

Хакеры-тяжеловесы против защитников в весе пера

Решения класса IDS сумели остаться на рынке только потому, что они постепенно преобразовывались в системы предотвращения вторжений (Intrusion Prevention Systems, IPS), которые могли автоматически обнаруживать угрозы. Имея такие системы, которые автоматически блокировали угрозы, организациям не было никакого смысла держать дорогую команду специалистов в области сетевой безопасности. Работа существующих команд безопасников была низведена до обслуживания файерволов, IPS и других средств информационной безопасности, вместо того, чтобы сконцентрироваться на анализе сети и реагировании на инциденты. Тем временем интернет-преступники стали лучше финансироваться, их разработки стали более "умными" и сложными. Сейчас мы наблюдаем борьбу элитных хакеров против "героических" администраторов файерволов. Согласно статистике Gartner, шансы хакеров выиграть каждый "бой" без их обнаружения составляют 4 к 1.

 

Сбалансированная безопасность

Как результат таких бизнес-решений, львиная доля бюджета на безопасность и усилий направляется на создание политик и механизмов их применения, направленных на противодействие неправильному поведению в сети и смягчению последствий от таких нарушений. Все исследования и анализ сети сводятся к созданию статистических отчетов о запретительных действиях, осуществленных инфраструктурой безопасности.

 

Учиться у систем физической безопасности

Рассматривая историю человечества, мы постоянно сталкиваемся с фактами, подтверждающими важность баланса между надзором, принуждение к исполнению и реагированием на нарушения. Прежде, чем выросла Великая китайская стена, здесь жили крестьяне, которые приносили вести о силах и намерениях захватчиков с севера. Если я заходил в винный магазин, меня не останавливали пуленепробиваемое стекло, лазеры или проваливающиеся полы, просто за мной следили камеры наблюдения. Солдаты, прежде чем научиться стрелять из ружья, обучаются принципам караульной службы. Наблюдение - это фундаментальный элемент безопасности, как физической, так и сетевой.

 

Что вы имеете в виду, говоря, что меня ограбили?

В свете статистики, приведенной компанией Gartner, самое печальное заключается в том, что мы не можем определить, когда мы были ограблены. Древние крестьяне в северном Китае по крайней мере имели достаточное количество ситуационных предупреждений, чтобы знать, что они подвергаются нападению.

 

Самооценка

Существует несколько базовых вопросов для каждой организации, на которые должны быть получены ответы:
  • Какой объем P2P- или Onion Routing-трафика крутится в моей сети?
  • Какие хосты в моей сети подключены к известным серверам бот-сетей?
  • Какие пользователи моей сети пытаются получать доступ к информации, которой они не должны интересоваться?
  • Сколько информации покидает мою сеть и передается в сети конкурентов?
Если вы не можете ответить на эти вопросы, то у вас серьезная проблема. Впрочем, к сожалению, такая ситуация очень обычна. Для упрощения проверки мы должны ответить на более простой вопрос: Как я могу узнать, что нацеленная на меня атака прошла удачна и достигла моей сети?

 

Проверка исполнения правил

После того, как Великая китайская стена была построена, это не означало, что она могла теперь самостоятельно отражать атаки. На ней всегда находились часовые. Наблюдение является критичным фактором в определении того, как работает механизм соблюдения корпоративных правил безопасности. Очень часто в корпоративных сетях можно видеть трафик, который, по идее, должен был блокировать механизм, уже внедренный в сети. Иногда это результат плохой конфигурации, иногда это результат продвинутых технологий обхода корпоративных политик. Очень легко преодолеть любую стену, если никто не наблюдает и у вас есть для этого куча времени. Если не внедрить умную систему слежения, то любая таргетированная (направленная) атака рано или поздно добьется своей цели.

 

Информированная реакция

Работа исследователей инцидентов значительно более эффективна, когда они работают с "доказательствами", которые хорошо описаны и каталогизированы. Криминальный взлом магазина на глазах камер и свидетелей значительно быстрее завершится в суде, чем взлом несовершеннолетними хулиганами заброшенного склада. Когда сеть не снабжена системой умного слежения, вы не только не обнаружите современную атаку, пока кто-нибудь со стороны не скажет вам об этом, вы не сможете даже определить ущерб, который вам нанесли, или методы, использованные атакующими для проникновения в ваши сетевые закрома. В итоге вы не становитесь информирование после всего этого, да и уязвимость остается не устраненной. Т.е. проломанная дыра в вашей стене останется на месте и будет всегда привлекать следующих преступников.

 

Ищите странности

Основная техническая характеристика обычных систем класса IDS заключается в том, что они высматривают известный плохой трафик. В основном это делается путем сравнения с шаблонами (сигнатурное определение).
В инструкциях корпуса морской пехоты США сказано: "Всегда будь на посту подготовлен к бою, будь постоянно готов подать сигнал и следи за всем, что находится в твоем поле зрения или слуха" и "Связывайся с командиром патруля в каждом случае, который не предусмотрен инструкцией". В дополнение к необходимости сообщать о регистрации странных "плохих" фактов, патрульным необходимо всегда замечать вещи, которые находятся не на своем месте, и отправлять сообщение для расследования. В системе сетевого слежения также важно детектировать аномальное и подозрительное поведение, которое "не предусмотрено инструкцией".
Умная система слежения для того, чтобы быть эффективной, должна быть способна обнаруживать как аномальное, так и подозрительное поведение трафика. Главное то, что у вас, к сожалению, никогда не будет сигнатур (шаблонов) для новых атак. И кто-то должен следить за странностями.

 

Заключение

Без эффективной системы сетевого слежения хакеры будут продолжать безнаказанно грабить ваши "защищенные" ресурсы. Хотя механизмы принудительного соблюдения правил являются очень важными для здоровья сети, они не могут заменить бдительных и обученных "стражей", которые следят за современными продвинутыми и целевыми атаками. Это очень печально, когда в организации не могут даже ответить на самый фундаментальный вопрос: "Как я могу узнать, когда моя инфраструктура была атакована?". Тренированный персонал, имеющий современные решения сетевого умного слежения и анализа, подобные Lancope StealthWatch, является сегодня единственной защитой против растущего вала сложных и умных атак.

Метки:  

Telenor использует Lancope StealthWatch для мониторинга своей сети

Дневник

Пятница, 02 Июля 2010 г. 15:04 + в цитатник

Web Control
Только одно решение устроило оператора, в сети которого ежесекундно проходит более миллиона пакетов. По словам Хенрика Строма (Henrik Strom), руководителя департамента операционной ИТ- безопасности Telenor: "любая система обнаружения вторжений (Intrusion Detection System, IDS), которая рассматривалась нами, должна проверять весь этот трафик, более того, извещать нас в реальном времени о возникновении потенциального риска. Проведя тестирование широкого круга систем мониторинга безопасности, мы остановились на StealthWatch, как единственном решении, которое может масштабироваться для удовлетворения нашим требованиям в терминах сетевого трафика и возможностей управления" …

StealthWatch позволяет осуществлять контроль значительных объемов трафика в сети одного из крупнейших европейских операторов связи и ускорять разрешение инцидентов в сетях центров обработки данных Telenor. Решение StealthWatch в настоящее время обеспечивает мониторинг трафика для всех дата-центров компании, относящихся к мобильным и Интернет-сервисам и включающих в себя тысячи UNIX- и Windows-серверов, связанных друг с другом с помощью около 30 мощных коммутаторов Cisco.

"В нашей сети ежесекундно проходит более миллиона пакетов трафика, - говорит Хенрик Стром (Henrik Strom), глава департамента операционной ИТ- безопасности Telenor. - Любая система обнаружения вторжений (Intrusion Detection System, IDS), которая рассматривалась нами, должна проверять весь этот трафик, более того, извещать нас в реальном времени о возникновении потенциального риска. Проведя тестирование широкого круга систем мониторинга безопасности, мы остановились на StealthWatch, как единственном решении, которое может масштабироваться для удовлетворения нашим требованиям в терминах сетевого трафика и возможностей управления".

Основным пользователем StealthWatch в настоящее время является Центр управления безопасностью Telenor Norway, в дальнейшем предполагается его использование сетевым и серверными подразделениями, а также командой, отвечающей за управление приложениями. Внедрив StealthWatch, подразделение информационной безопасности Telenor получила широкие возможности визуализации процессов в сети центра обработки данных, которые используются для предотвращения инцидентов, определения их причин и обеспечения соответствующего реагирования.

"Мы можем видеть, какие сервисы используются и предоставляются через Интернет, как эти сервисы коммуницируют с серверами, каким образом рабочие станции получают доступ к услугам и тому подобное, - говорит Стром. - Расширенные возможности StealthWatch позволяют нашим специалистам сосредоточиться на решении проблем, а не на их обнаружении".

StealthWatch является пионером в области сбора и анализа информации о потоках для обеспечения высокого уровня производительности сети и мониторинга информационной безопасности, обеспечения сквозной визуализации процессов в физических и виртуальных сетях. В отличие от традиционных технологий мониторинга, требующих обширного внедрения, использует принцип просмотра потоков для получения эффективной с точки зрения стоимости визуализации процессов, улучшенной безопасности и высокой производительности. StealthWatch позволяет обслуживающему персоналу разрешать инциденты в течение нескольких секунд, уменьшая тем самым общую стоимость обслуживания и защиты сети.

В России решение StealthWatch можно приобрести только у компании Web Control.

Продукты Lancope на сайте Web Control
 


Метки:  

Рынок технологий Deep Packet Inspection (DPI) ждет бурный рост

Дневник

Пятница, 02 Июля 2010 г. 14:33 + в цитатник
Как недавно сообщила исследовательская фирма Market Research Media, в ближайшее время технологии глубокой инспекции пакетов (Deep Packet Inspection, DPI) будут очень востребованы в правительственных организациях США. Согласно их данным в 2010 - 2015 годах американское правительство планирует инвестировать примерно 7,2 млрд. USD во внедрение этих технологий для защиты национальной инфраструктуры. Данные инвестиции предполагается делать в рамках программы "Эйнштейн", которую спонсирует CERT (Computer Emergency Readiness Team). "Эйнштейн" - это недавно рассекреченная программа, связанная с обеспечением компьютерной безопасности, которая представляет собой набор мер, предназначенных для идентификации, анализа, защиты и активного реагирования на кибер-атаки.
Очевидно, что сегодня еще относительно маленький рынок на котором работают несколько небольших компаний, таких как Procera Networks, ждет бурный рост.
Более подробно с отчетом можно ознакомиться:
Отчет Market Research Media
Продукты Procera Networks на сайте Web Control

Метки:  

 Страницы: [1]