Нижеуказанные данные являются результатом анализа десятков внедрений аналогичных систем и разговоров с сотнями клиентов. В итоге мы смогли выделить 5 ключевых параметров, позволяющих успешно внедрить систему контроля сети с использованием NetFlow:
5) Масштабируемость. Хотя в большинстве сетей наших заказчиков не посылается более, чем 20К потоков в секунду со всех коммутаторов и маршрутизаторов, скорость сбора данных очень важна. В ближайшем будущем оборудование будет пересылать еще больше детальных данных в формате NetFlow и IPFIX и, следовательно, коллекторы начнут сталкиваться с удвоенным и утроенным объемом потоков. Поэтому, как минимум, выбирайте производителя решения, которое сможет быть масштабировано до уровня выше 100К потоков в секунду на одно устройство. С такими возможностями по емкости вы сможете масштабироваться до миллионов, используя распределенную среду сбора NetFlow.
4) Обнаружение сетевых угроз. Файерволы и системы защиты от вторжений (Intrusion Protection Systems, IPS) являются первой линией защиты от вредоносного сетевого ПО, но они не справляются со внутренними угрозами. Модель безопасности класса Zero-Trust требует постоянного мониторинга malware, которое уже проникло внутрь сети. Такие системы отслеживают странное поведение потоков за минуты для каждого хоста в сети. Они сравнивают IP-адреса со списками Internet Reputation и сигнализируют в случае превышения индекса репутации или при повышенном росте трафика для какого-либо хоста.
3) Расследование. Идентификация угрозы почти всегда требует продолжить исследования. Способность определения, где вредоносное ПО проникло в вашу сеть, как оно это сделало, кто при этом входил в сеть и когда это произошло, требует самой лучшей специализированной фильтрации трафика и широких возможностей построения отчетов. В большинстве случаев, когда мы очищаем систему от вредоносного ПО, нам необходимо знать, кто еще может быть задействован. Поиск по базе данных устройств, замеченных в аналогичном аномальном поведении трафика, должен быть быстрым, масштабируемым и способным просматривать данные за значительный прошлый период времени.
2) Корреляция потоков и логов. Отчетность на основе NetFlow И IPFIX существенно обогащается, когда данные могут коррелироваться с информацией от syslogs или машинных логов. Если syslog сообщает об угрозе или запрещенном соединении, мы можем получить IP-адрес или протокол, отследить данные потока и определить, кто или что участвовали в это время в событии. Граница между данными потоков и логами уменьшается и среднее время обнаружения (Mean Time To Know, MTTK) часто укорачивается, когда такие детали, как посещенный URL, доступны через один интерфейс.
1) Контекстные детали. Этот функционал только начинает предлагаться в NetFlow- или IPFIX-решениях следующего поколения. Контекстные данные еще более расширяют возможности корреляции логов и потоков, добавляя такие много говорящие детали, как имя пользователя, операционная система, которые раньше можно было найти только в некоторых логах или базах данных. Enterasys Mobile IAM и Cisco ISE собирают эти детали и могут быть настроены для совместного использования этой информации с системами анализа и отчетности на базе потоковых технологий, таких как StealthWatch. Учитывая растущий интерес к контролю трафика мобильных систем (BYOD), надо полагать, что этот список будет расширяться.

Компания Blue Coat, ведущий мировой производитель решений для обеспечения безопасности Интернет-коммуникаций, на днях объявила о заключении соглашения о покупке Crossbeam Systems, разработчика разработчика высокопроизводительной и масштабируемой платформы сетевой безопасности. Подобный союз позволит двум лидерам рынка объединить свои дополняющие друг друга технологии для обеспечения безопасности крупнейших и наиболее сложных сетей.
Современные потребности организаций и увеличивающееся количество устройств различного типа, получающих доступ к сети и объемному контенту, являются основным катализатором развития сетей, которые требуют все большей емкости и производительности. Эти потребности ведут за собой и необходимость все больших инвестиций в дополнительные решения обеспечения безопасности и контроля сети. Для предприятий, которые стремятся внедрять новые технологии, такие как мобильные и облачные приложения, в свою существующую среду обеспечения безопасной работы, этот фактор является критичным.
"Предприятия, которые стараются расширить свои возможности за счет новейших технологий, одновременная потребность в увеличении емкости и производительности вызывает возникновение циклического процесса постоянного расширения сетевой инфраструктуры и системы безопасности, - говорит вице-президент IDC по продуктам и услугам безопасности Кристиан Кристиансен (Christian Christiansen). - Blue Coat и Crossbeam уже имеют опыт создания объединенных экосистем безопасности и их нынешний союз позволяет надеяться, что мы сможем получить даже более продвинутые решения в сетевой безопасности".
Продукты Crossbeam Х-серии являются единственной на рынке масштабируемой платформой высокого уровня, которая позволяет организациям консолидировать свою сетевую инфраструктуру с инфраструктурой безопасности. Объединение ее с решениями Blue Coat Unified Security позволяет создать идеальную контрольную точку в сети для управления приложениями, мониторинга входящего и выходящего трафика для всех пользователей в любой точке сети любого масштаба.
Blue Coat и Crossbeаm входят в группу компаний, контролируемых частным инвестиционным фондом Thoma Bravo, который собственно и явился инициатором и организатором сделки. Процесс приобретения Crossbeam Systems предполагается завершить 31 декабря 2012 года.
При этом Blue Coat объявила, что заказчики Crossbeam будут продолжать получать тот же высокий уровень поддержки и сервиса. Более того, в рамках интеграции, в дальнейшем будет создана единая система поддержки, основанная на лучших методологиях и технологиях обеих компаний.
Существующие каналы продаж Blue Coat и Crossbeam пока будут функционировать независимо.
 
Мастер-дистрибутором Blue Coat в России является компания Web Control.

О компании Crossbeam Systems
Crossbeam Systems предлагает организациям принципиально новый подход к созданию и предоставлению услуг в области информационной безопасности. В основе решения Crossbeam – высокомасштабируемая аппаратная платформа обеспечения безопасности следующего поколения, призванная упростить обеспечение услуг безопасности, а также повысить уровень их консолидации и виртуализации. При этом у клиента сохраняется возможность выбора самых передовых приложений в области безопасности. Сайт компании: www.crossbeam.com.

Недавно компания Blue Coat приняла бизнес-решение прекратить поддержку фильтрации WebSense на своих устройствах ProxySG, начиная со следующей версии своей операционной системы SGOS (v.6.3). Это решение обосновано тем, что новая база данных WebSense v7 не имеет обратной совместимости с устройствами ProxySG.

Как сообщают представители Blue Coat, в последнее время WebSense умышленно и последовательно утаивает технологические обновления от партнера, подвергая общих заказчиков ненужному риску. Ну и в последнее время: текущая версия (v7) базы данных веб-фильтра WebSense была выпущена без учета необходимости поддержки клиентов, использующих Blue Coat ProxySG. Это приводит к тому, что клиенты получают некорректные результаты для определенных URL, основываясь на неточностях старой базы данных (v6) WebSense (последняя версия базы данных, где WebSense еще учитывала взаимодействие с ProxySG). Например, некоторые заказчики блокировали www.google.com, основываясь на неточной категоризации WebSense, которая поместила сайт в категорию "none". Поскольку многие клиенты применяют политику запрета доступа к некатегоризированному контенту, это и привело к блокировке популярной поисковой машины.

Как сообщили представители Blue Coat, решение компании WebSense прекратить обратную поддержку совместимости привело к неприемлемым для клиентов событиям, что не оставило Blue Coat выбора. Тем не менее поддержка тех немногочисленных пользователей, которые терпят определенные неудобства от этих изменений, будет сохранена, как утверждает производитель. Все версии SGOS вплоть до версии 6.3 поддерживают фильтрацию WebSense, и эти версии будут поддерживаться еще несколько лет.

Компания EdgeWave была единственным производителем, рассматриваемым в области решений класса Secure Content Management (SCM), и одной из 10 компаний, признанных Инноватором года. Признание этой награды явилась очевидным шагом после присвоения системе EdgeWave пятизвездочного рейтинга и статуса "Рекомендованное решение", о которых журнал объявил ранее в этом же году.
Решение EdgeWave включает в себя многократно награжденные системы iPrism Web Security и ePrism Email Security Suite, которыеобеспечивают высококачественное фильтрацию контента и email, а также Email Continuity, DLP, Encryption и Archiving.

Журнал SC Magazine является одним наиболее уважаемых в мире изданий в сфере систем безопасности.

http://www.edgewave.com/pr/news/releases/254.asp

В своем отчете эта ведущая мировая аналитическая компания отметила важность SSL VPN для удаленного доступа, непрерывности бизнеса и мобильности корпоративных пользователей. Согласно мнению Gartner, "мультимодальный удаленный доступ нуждается в постоянном обеспечении безопасности, работающей со всевозможными устройствами и операционными системами".
Устройства серии SonicWALL Aventail E-Class Secure Remote Access (SRA) является полномасштабным решением для контроля за удаленным доступом для устройств, работающих под управлением Windows, Linux, Mac, Windows Mobile, iOS и Android. Используя эту систему, все работники, бизнес-партнеры или субподрядчики могут получать все преимущества защищенного, высокопроизводительного, работающего на основе политик, доступа к приложениям и ресурсам, которые им требуются. При этом они могут использовать клиентское приложение или работать без него и получать доступ практически к любому устройству, находящемуся где угодно.
Дополнительная информация.

Компания Blue Coat, которая специализируется на разработке решений в области веб-безопасности и оптимизации WAN, объявила о том, что будет куплена группой инвесторов во главе с американской частной инвестиционной компанией Thoma Bravo.

Компания покупается за сумму, примерно на 50% превышающую рыночную стоимость. Совет директоров Blue Coat уже одобрил данную сделку и в настоящее время требуется согласие акционеров.

Компания Thoma Bravo уже владеет рядом известных компаний в области безопасности и сетевых технологий, в частности SonicWALL, Tripwire, Entrust, NetIQ. Помимо инвестиционной фирмы Thoma Bravo из Сан-Франциско, в сделке также участвуют инвестиционное подразделение Ontario Teachers' Pension Plan и ряд других фондов.

Компания опубликовала аналитический прогноз на 2012 год, где упомянуты пять основных угроз в области информационной безопасности. Эти предсказания касаются основных типов атак, которых следует ожидать в будущем году, и объясняют какой риск несут эти атаки.В 2011 году многие организации пострадали от подобных атак - вспомним только публикации WikiLeaks или атаки Anonymous и LulzSec. В следующем году следует ожидать подобной ситуации, если не более тяжелой.

Главные пять угроз по версии Lancope в 2012 году - это:
1. Продвинутые непрерывные угрозы (Advanced persistent threats, APTs) будут преобладать.
2. Потери от инсайдерской деятельности будут увеличиваться.
3. Атаки на промышленные системы останутся на том же уровне.
4. Угрозы, связанные с ошибочными действиями персонала, будут создавать постоянный риск.
5. Количество полностью автоматизированных атак будет уменьшаться.

Далее...

Компания была награждена за свои усилия по внедрению средств на базе NetFlow для защиты государственных и корпоративных сетей. Премией GSN Homeland Security Awards отмечают организации, которые приложили максимум усилий для обеспечения партнерства между государственными организациями всех уровней в США и производителями продуктов, решений и технологий в сфере информационной и физической защиты.  Системе Lancope StealthWatch доверили свои сети сотни государственных учреждений и корпораций, которые нуждались в надежной и интеллектуальной системе защиты информационных систем, обладающей возможностью реакции на возникающие инциденты. Далее…

Сегодня мы можем наблюдать резкий скачок в развитии технологий передачи данных в мобильных сетях.  Совсем недавно и практически одновременно было объявлено о двух событиях – ратификации стандарта Ethernet в 40,100 Гбит/с и появлении коммерчески доступных мобильных сервисов класса 4G. Всемирная ассоциация поставщиков мобильных сетей недавно даже заявила, что 4G/LTE является самой быстроразвивающейся системой в истории телекома. Для владельцев крупных сетей возникает проблема: как соответствовать новым требованиям и осуществлять мониторинг этих новых технологий?
Переход на технологии доступа четвертого поколения связан с существенным увеличением трафика данных в мобильных сетях. Увеличивая мощности сетевой среды, операторы одновременно стремятся уменьшить затраты, полностью переходя на IP-транспорт и пытаясь упростить архитектуру сети и управление ею. При этом многие важные вопросы еще не решены, в частности, вопросы совместимости различных систем 4G и формирование стандартов значительной части LTE. Кроме того переход на IP-транспорт приводит к усложнению контроля качества отдельных сервисов сети и часто к неоправданному росту сложности систем мониторинга.
Сложность добавляется и за счет того, что операторы не могут перейти на 4G за один день, они вынуждены еще достаточно долгое время работать в гибридной среде, совмещая работу существующих платформ с системами нового поколения. Предполагается, что доминирующей технологией будет  LTE, но она требует обеспечения совместимости с существующими 2G/3G-сетями, а также конкурирующими системами.
Одновременная поддержка старых и новых стандартов требует сквозного мониторинга такой сети в реальном времени на уровне пакетов, контроля ее параметров и управления, что на базе существующих систем становится практически невозможным, вследствие необходимости внедрения аналитических устройств повсюду в сети. Все это усложняется с появлением все новых протоколов и услуг, которые также надо контролировать. Переход к 4G-сетям неразрывно связан с переходом к модели Сетевого мониторинга 2.0, в рамках которой в сети создается отдельный слой распределенного захвата трафика.

Что же такое Сетевой мониторинг 2.0 и чем он отличается от Мониторинга 1.0?
Мониторинг сети  - это сложный комплекс аппаратных и/или программных систем, который следит за сетевыми компонентами корпоративной или операторской инфраструктуры. Особенно важен качественный мониторинг трафика для операторов связи и не только для обеспечения качества услуги, но и для предотвращения мошенничества. Источником первичной информации для систем мониторинга являются различного вида сетевые ответвители (taps), позволяющие захватывать  трафик и передавать его в системы анализа без влияния на сетевые процессы. Традиционно системы мониторинга поставляются с собственными подсистемами захвата трафика и это оправданно, когда различные сервисы в сети используют различный транспорт.
Сегодня архитектура сети становится все более «плоской», поскольку инфраструктура строится практически целиком на IP, и в то же время количество сложных гетерогенных устройств в сети также увеличивается, растут и объемы трафика. При традиционном подходе системы мониторинга должны не только заниматься своим прямым делом - анализом траффика, но и неблагодарной задачей поиска этого трафика в гигабитах "сопутствующих" данных. В это время и появляется необходимость в "умных" системах захвата способных разобрать большие объемы захваченого трафика и раздать их частями в соответствующие системы мониторинга. Так появилась концепция Мониторинга 2.0.
В концепции Мониторинга 2.0 сетевые ответвители больше не рассматриваются как отдельные устройства, а являются распределенной сетевой платформой «умных» элементов, действующей как единая система захвата трафика. При этом создается единый выделенный слой захвата и адресной избирательной доставки трафика для всех систем мониторинга. Ключевую роль в этой системе играют именно «умные» ответвители.

К единому слою захвата трафика могут быть подключены любые средства мониторинга, работающие по IP, и не обязательно в в том же месте, где происходит захват. Больше нет необходимости расставлять элементы систем мониторинга по всей сети, в каждой точке контроля. Но это работает только в том случае, если система захвата трафика будет распределенная и отдельные ответвители будут взаимодействовать друг с другом как единая система. Платформа при этом «подгоняется» и масштабируются под каждую конкретную сеть Подобные ответвители не влияют на функционирование инфраструктуры и легко устанавливаются по всей сети.
Такая схема позволяет осуществлять предварительную обработку и очистку перехваченного трафика перед передачей его в инструменты мониторинга и анализа. Целый ряд мониторинговых систем сориентирован на определенные приложения и их интересует только определенный тип IP-трафика с конкретных устройств. Для этого используются такие функции системы, как фильтрация по портам, IP-адресам, интерфейсам, выборочная агрегация, маркирование трафика по портам или времени и другие.

Возможно, одной из наиболее важных характеристик Сетевого мониторинга 2.0 является способность ответвителей передавать трафик друг другу, формируя, таким образом, гибкую систему. Это очень важно, поскольку в сложных конфигурациях такие элементы могут обеспечивать «самолечение», маршрутизация захваченного трафика будет оптимизироваться от порта захвата к порту мониторинга внутри системы в зависимости от нагрузки. Причем доставка захваченного трафика может производится и с использованием инкапсуляции в IP.
Путем создания единого слоя захвата трафика все средства мониторинга могут быть консолидированы в едином месте. При этом будут ликвидированы «слепые пятна», поскольку нет необходимости подключения систем мониторинга непосредственно к сети, а доступ их к трафику осуществляется через слой захвата. Подобная централизация сразу приводит к упрощению сетевой архитектуры и значительному уменьшению количества необходимых устройств.
Распределенный на всю сеть слой захвата трафика практически не применяется в Сетевом мониторинге 1.0. Централизация систем в системе Мониторинг 2.0 позволяет получить беспрецендентный уровень прозрачности сети. При этом архитектура платформы за счет предварительной обработки трафика позволяет  использовать оптимальные по производительности инструменты мониторинга (например, уже установленные системы анализа 1G-трафика для анализа 10 G-трафика). Захваченный и прошедший предварительную обработку трафик может также проходить через границы WAN, обеспечивая при этом централизованное управление.
В сентябре 2011 г. под эгидой Multiservice Forum был проведен VoLRE Interoperability Test в компаниях Vodafone (в Дюссельдорфе) и China Mobile (Пекин). Сценарий тестирования подразумевал последовательное тестирование различного сетевого оборудования и систем мониторинга в различной комбинации. Опыт предыдущих тестов показал, что значительную долю времени занимает физическое переподключение оборудования. Для ускорения данного процесса впервые была применена распределенная система захвата трафика (DTCS) производства VSS Monitoring. Тестирование показало, что применение подобных систем не только позволяет обеспечить эффективный мониторинг уже построенных сетей, но и способствует ускорению процесса интеграции и внедрения новых технологий и коммуникационных систем.
 
Путем централизации инструментов мониторинга и применяя интеллектуальные средства на уровне захвата трафика (балансировка нагрузки, фильтрация, выборочное агрегирование и т.п.) можно добиться значительного повышения эффективности мониторинга. Становится возможным сквозное разрешение сетевых проблем, что приводит существенному уменьшению времени отклика на проблемы и их исправления.
Мониторинг 2.0 означает также возможность легкого масштабирования всей системы по мере изменения параметров сети. Общая стоимость системы значительно ниже, чем в случае использования не систематизированного подхода с внедрением большого количества различных устройств для мониторинга. Меньшие затраты на обслуживание и сокращение времени на разрешение проблем приводит к уменьшению операционных расходов и, в итоге, быстрой окупаемости.

• В качестве примера специализированного устройст, полностью соответствующего концепции Мониторинг 2.0 можно привести Optimizer LTE компании VSS Monitoring. Это устройство разрабатывалось специально для сетей 4G и имеет 2  XFP-порта и 16 портов UTP 10/100/1000 (все порты конфигурируются как TAP/SPAN/Monitor или Stack-порт).Система поддерживает протоколы IP 4G/LTE (такие как SIP, RTP, GTP v1/v2, GRE. Оно обеспечивает все потребности в захвате трафика для операторов, причем не важно откуда нужно взять трафик - с системы доступа, транзита или ядра.

Отметим, что существует ряд сопутствующих тенденций, которые требуют совершенного иного, чем сейчас взгляда на потребности и параметры мониторинга.
Это, в частности, тенденция «выравнивания» сети, когда постепенно все сетевые системы начинают работать на базе IP. При этом количество распределенных IP-устройств и IP-сервисов в сети увеличивается, возникает все больше точек потенциальных аварий, и требуется все больше точек мониторинга. Отметим, что в концепции Мониторинга 2.0 эти точки могут быть использованы различными системами одновременно.
Вторая тенденция, это быстрое технологическое развитие, которое требует создание гибкой и «умной» структуры мониторинга. Уже сейчас требуется мониторинг трафика на уровне пользователей и на уровне контроля, которые поведенчески существенно различаются. В ближайшем будущем ожидается переход к сетям в 40 GigE, а затем и 100 GigE. Концепция же Мониторинга 2.0 позволяет использовать в системе инструменты, которые работают на более низких скоростях, что это значительно оптимизирует процесс «перевооружения» систем мониторинга.
Приложение 1.
Преимущества Сетевого мониторинга 2.0

• Единый слой захвата трафика
  • Единая точка мониторинга
  • Централизованное управление
  • Полная визуализация
• Встроенная маршрутизация захваченного трафика
  • «Самоанализ» и автоопределение пути доставки трафика к системам мониторинга
  • Защита от аварий
• Оптимизация/модификация пакетов
  • Аппаратная деинкапсуляция трафика в точках захвата
  • Маркировка трафика (время, порт)
  • Превращение «сырых» данных в готовую для анализа информацию
• Низкая стоимость владения
  • Затраты по мере роста
  • Уменьшение нагрузки на управление
  • Продленная жизнь систем

Ключевым фактором уверенности в получении полноценной информации о всех процессах в сети является понимание того, как анализируемый трафик попадает в средства мониторинга.  Мы полагаем, что сегодня только интегрированная система, такая как VSS Monitoring Distributed Traffic Capture System, имеет достаточные возможности для получения информации о сетевых процессах во всех точках сети.
Ниже перечислены вопросы, которые  позволяют характеризовать возможности масштабной системы захвата трафика сети.
Попробуйте протестировать своего вендора. Задайте ему эти вопросы. Убедитесь, действительно ли он позволяет вам обеспечить централизованный мониторинг всех процессов сети.
 
ВОПРОСЫ

1. Отказоустойчивы ли ваши ответвители трафика для гигабитных медных сетей?
2. Могут ли пользователи соединять ваши ответвители по любой топологии? Могут они соединяться через WAN? Является ли система захвата отказоустойчивой?
3. Ваши ответвители обладают функционалом посессионной балансировки нагрузки контролируемого трафика? Эта балансировка автоматическая? Что произойдет, если контакт будет потерян?
4. Сколько 10 Гб-ответвителей вы предлагаете? Каков диапазон возможного количества портов?
5. Есть ли графический интерфейс пользователя, позволяющий отображать все операции на ответвителе?
6. Поддерживает ли ваша система захвата трафика захват данных на входных портах и на SPAN-портах?
7. Обладают ли ваши ответвители возможностями маркировка трафика (время, порт) на входе в сеть до того, как они произведут очистку трафика?
8. Есть ли у вас техническая поддержка в моем регионе?
9. Чем качественно отличается ваша технология захвата трафика, какие возможности она предоставляет?
10. Могут ли ваши системы захвата трафика взаимодействовать друг с другом как единая интегрированная система?

 
ОТВЕТЫ VSS MONITORING
1. Отказоустойчивы ли ваши ответвители трафика для гигабитных медных сетей?
Протокол Gigabit Ethernet для таких сетей определяет, что трафик может проходить одновременно в обе стороны, поэтому линейные ответвители не могут быть полностью пассивными. Технология VSS Monitoring  vAssure позволяет уменьшить задержку из-за аварий практически до нуля, позволяя чувствительным к временным параметрам приложениям работать без прерывания. Ответвители без использования этой технологии мгновенно теряют связь, если, например, теряется питание. При использовании vAssure задержка не превышает 30-60 мс. А что сможет противопоставить этому  другой производитель?

2. Могут ли пользователи соединять ваши ответвители по любой топологии? Могут они соединяться через WAN? Является ли система захвата отказоустойчивой?
Соединенные или объединенные в стек ответвители не должны терять пакеты или образовывать единую точку сбоя. Единственными возможностями предотвращения этого  - это:

1. Отказоустойчивость за счет использования топологии полной взаимозаменяемости: при потере связи система ответвителей должна уметь перенаправить копируемый трафик по другому маршруту, включая возможность использования сразу нескольких линий и выбор самых быстрых путей. Все производители, кроме VSS Monitoring,  не предлагают такой функционал и ограничиваются предложением возможности использования последовательной связи или связи типа hub-and-spoke.
2. Посессионная балансировка нагрузки: это балансировка нагрузки множество портов, использующая посессионные критерии, которые соответствуют вашей сетевой среде, при том это не один или два критерия, такие как IP-источник или IP-приемник. VSS Monitoring учитывает 9 критериев, учитывающие даже передачу трафика в средства мониторинга. Сколько параметров учитывает ваш производитель, если он вообще осуществляет балансировку нагрузки?
3. Множество гибких портов: каждый порт может быть портом стека для увеличения полосы пропускания и отказоустойчивости.

 
VSS Monitoring обеспечивает возможность виртуальной связи с помощью технологии vStack+. Эта технология обладает возможностью самопроверки, определяющей разрывы связи и находящей возможности обхода этих разрывов. Эта возможность есть только у системы VSS Monitoring.
Кроме того:

• Связь через весь мир: связь между устройствами должна работать по всему миру через WAN, а не ограничиваться местной сетью.
• Полная доступность: любой распределенный или интеллектуальный ответвитель в линейке производителя должен работать в стеке, а не только одна или две модели.

 
3. Ваши ответвители обладают функционалом посессионной балансировки нагрузки контролируемого трафика? Эта балансировка автоматическая? Что произойдет, если контакт будет потерян?
Балансировка нагрузки VSS - это автоматизированное распределение трафика через мониторинговые порты таким образом, что сетевая сессия не прерывается и цельность пакетов сохраняется.  Некоторые из вендоров используют термин "балансировка нагрузки" для операций, которые в сущности являются фильтрацией трафика.  Вы должны понимать разницу:

• Фильтрация  - это ручное распределение трафика, конфигурируемое администратором. Она не может автоматически адаптироваться к изменяемым условиям, таким как потеря связи или резкий рост трафика.
• Комплексную фильтрацию сложно внедрить. Некорректно сконфигурированный фильтр может вызвать потери пакетов.
• Фильтрация не позволяет  вам выбрать среди различных критериев сессии.

Балансировка нагрузки должна быть отказоустойчива. Если связь теряется, пакеты должны быть перенаправлены без их потери и, если устройства захвата трафика сконфигурированы как стек, без нарушения стека.
 
4. Сколько 10 Гб/с-ответвителей вы предлагаете? Каков диапазон возможного количества портов?
VSS Monitoring сейчас предлагает 23 ответвителей класса 10 Gb, что более, чем  в 5 раз больше, чем любой другой вендор. А вся линейка ответвителей более, чем в два раза превышает размер линейки устройств крупнейшего конкурентного производителя. Здесь можно найти все - от простого устройства класса 10/100 Мб с четырьмя портами до интеллектуальных распределенных ответвителей класса 10 Гб с 30 портами. С этими продуктами можно ознакомиться на http://www.vssmonitoring.com/product+finder.asp.
 
5. Есть ли графический интерфейс пользователя (GUI), позволяющий отображать все операции на ответвителе?
Некоторые производители предупреждают пользователей, что графический пользовательский интерфейс их устройств не следует использовать для сложных действий, таких как фильтрация или соединения портов. Часто даже такие необходимые  конфигурационные установки, как стековые соединения, не доступны в их GUI.
Заставляя пользователей использовать командную строку для сложных операций, производитель значительно усложняет их работу.
 
6. Поддерживает ли ваша система захвата трафика захват данных на входных портах и на SPAN-портах?
VSS Monitoring позволяет осуществлять захват трафика и там и там. Некоторые же производители предлагаю захват трафика только на SPAN-портах, советуя для работы на входных портах использовать системы других вендоров.
Но, прежде чем согласиться на использование только SPAN-портов для захвата трафика, убедитесь, что знаете ограничения этого подхода:

• В зависимости от модели коммутатора и конфигурации SPAN-порты могут терять пакеты, когда коммутатор загружен.
• SPAN-порты потенциально могут снижать производительность коммутатора и терять пакеты при этом.
• SPAN-порты могут скрывать ошибки CRC (cyclic redundancy check), которые полезны для идентификации ошибок пакетов.
• SPAN-порты могут пытаться исправить "плохие" пакеты или добавить пакеты из других линий, не тех, которые контролируются.
• SPAN-порты не могут идентифицировать джиттер, одну из трех основных причин задержки. Только линейные системы захвата трафика в реальном времени могут помочь идентифицировать пакеты при джиттере.

7. Обладают ли ваши ответвители возможностями маркировка трафика (время, порт) на входе в сеть до того, как они произведут очистку трафика?
Технологии VSS Time Stamping и VSS Port Stamping позволяют приложениям систем мониторинга, чувствительным к задержкам, полностью использовать операции очистки такие, как агрегирование, фильтрация и балансировка нагрузки без опасения внести дополнительную задержку в процесс. Это позволяет максимально использовать возможности систем анализа трафика и уменьшить их количество.
Ни один другой вендор  не имеет устройств, позволяющих осуществлять маркировку по времени на входе.
 
8. Есть ли у вас техническая поддержка в моем регионе?
VSS Monitoring оказывает локальную техническую поддержку в Азии через свои офисы в Пекине, Сингапуре и Токио, в Европе в Лондоне, в США, а также через более, чем 50 своих партнеров по всему миру. Сайт компании и основные продуктовые документы доступны на китайском, английском, французском, японском, корейском, польском, русском и испанском языках.
 
9. Чем качественно отличается ваша технология захвата трафика, какие возможности она предоставляет?
VSS Monitoring является разработчиком многих новейших технологий в сфере распределенного захвата трафика. Только устройства VSS обладают:

• Самой быстрой функцией переключения связей в медных Гб-сетях и единственной технологией, которая не вызывает разрывов связи - vAssure.
• Отказоустойчивой системой связи через виртуальную сеть для захвата трафика - vStack+.
• Функционалом маркировки (время, порт) на входных сетевых портах - VSS Packet Optimization.

 
10.Могут ли ваши системы захвата трафика взаимодействовать друг с другом как единая интегрированная система?
Только VSS Monitoring имеет систему распределенного захвата трафика для создания полноценного и гибкого интегрированного решения.  В этом случае сетевые ответвители уже не рассматриваются как отдельные устройства, а образуют распределенную сетевую платформу «умных» элементов, действующую как единая система захвата трафика. При этом создается единый выделенный слой захвата и адресной избирательной доставки трафика для всех систем мониторинга. К единому слою захвата трафика могут быть подключены любые средства мониторинга, работающие по IP, и не обязательно в том же месте, где происходит захват. Больше нет необходимости расставлять элементы систем мониторинга по всей сети, в каждой точке контроля. Но это работает только в том случае, если система захвата трафика будет распределенной и отдельные ответвители будут взаимодействовать друг с другом, образуя единую систему. Платформа при этом подгоняется и масштабируется под каждую конкретную сеть. Подобные ответвители не влияют на функционирование инфраструктуры и легко устанавливаются по всей сети.
 
ВРЕМЯ ОТДЕЛЬНЫХ ОТВЕТВИТЕЛЕЙ ЗАКОНЧИЛОСЬ!
 

1. Собрать расширенную команду заинтересованных лиц. - Необходимо определить всех тех, кто заинтересован в предотвращении утечек информации. В больших организациях, кроме специалистов по информационной безопасности,  это могут быть сотрудники из IT, службы безопасности, кадров, юридического  и финансового отделов и т.п.
2. Разработать процесс уведомления о нарушении. - Знаете ли вы, как поступать в случае возникновения нарушения правил работы с информацией? Кого необходимо информировать? Готовы ваши юридический и кадровый отдел  решать проблемы, которые возникают в этом случае? Соберите сотрудников этих подразделений и вместе с ними напишите бизнес-процесс для такой ситуации. Обязательно продумайте, что будете делать, если ваши данные будут утеряны и будут нарушены законы или отраслевые регламенты.
3. Зафиксировать неработающие бизнес-процессы (например, автоматизированная передача  данных). - Допустим, вы обнаружили нарушение бизнес-процессов, например, когда файлы передаются партнерам в виде обычных текстов через Интернет, а не в зашифрованном виде через защищенную линию. Вам потребуется много времени, чтобы это исправить. Очень часто работникам службы информационной безопасности нужен кто-то "корпоративно сильный", чтобы заставить другие подразделения IT предпринять меры для решения этой проблемы. Займитесь этим в первую очередь.
4. Разработать план действий в случае обнаружения инсайдерского хищения.-  Обсудите с HR меры, которые необходимо принять в случае обнаружения инсайдера. Дайте возможность кадровикам самим подумать и включите их в команду. Инсайдер может быть и из числа топ-менеджеров, поэтому учтите эту возможность.
5. Сформировать команду по работе с инцидентами и определить ее рабочие процессы. - Разработайте план в виде графика бизнес-процесса. Кто должен входить в такую команду? В больших организациях это могут быть: руководитель высокого уровня, IT, сотрудники службы безопасности, юридического и кадрового подразделений. Определитесь с конкретными людьми.
6. Определить  SLA для процесса разрешения инцидента. - Определите цели, чтобы быть уверенным в решении проблемы в нужные сроки. Мы советуем определить SLA для:
   • Ознакомление руководства со всеми инцидентами за ХХ времени.
   • Разрешение важных инцидентов за YY времени.
   • Закрытие всех инцидентов за ZZ времени.
7. Определить правила отчетности и автоматизировать этот процесс. - Как вы собираетесь отслеживать процесс работы с инцидентами? Определитесь, какие отчеты вам нужны и кто конкретно будет их делать. Определите периодичность  создания отчетов, чтобы вы были в курсе того, что происходит и что ваша команда работает в соответствии с определенными ранее SLA. Отчеты должны включать:
   • Новые инциденты
   • Закрытые инциденты
   • Статус открытых инцидентов - сроки, важность,  владелец
   • Отчет по инцидентам, отсортированных по типу данных или корпоративных политик, которые были нарушены
   • Обобщенная информация для руководства
8. Планировать этапы свертывания действий. - Важно планировать свертывание процессов, вместо того, чтобы стараться "вскипятить океан".
   1. Определить данные и политики, которые будут поэтапно контролироваться: сначала клиентские данные, затем контрактная информация и т.п.
   2. Проверьте политики контроля в режиме мониторинга, чтобы определить "линию отсчета". Но вы должны быть готовы к тому, что увидите массу нарушений.  После этого продумайте, как вам аккуратно с этим справиться.
   3. Определитесь, когда вам надо принять решение о предупреждении пользователя и что вы ожидаете от этого. Используйте это для обучения пользователей правилам соблюдения корпоративных политик в сфере работы с информацией. Вы заметите, как количество инцидентов начнет уменьшаться по мере того, как пользователи будут предупреждаться по каждому случаю нарушения.

Как правило, TAP (Test Access Port) не играют никакой роли в анализе и отчетности о сетевом трафике. Эти устройства созданы, чтобы транслировать данные в системы класса IDS или сниферы пакетов. Компания NetOptics намерена изменить эту ситуацию, выведя на рынок свой новый AppTap. AppTap обладает характеристиками, которые мы ожидаем от традиционных TAP: его устанавливают inline, он копирует фреймы Ethernet в порты мониторинга и при отключении просто превращается коннектор Cat-5, не мешая потокам трафика.

Но AppTap делает не только это. Этот TAP действительно анализирует сетевой трафик, предоставляя возможность получения отчетности о полосе пропускания и сетевой производительности прямо через свой веб-интерфейс. Далее...
 

Существуют две причины использовать NetFlow для оптимизации WAN. Наиболее простым и общим случаем является возможность использования инструментов на базе NetFlow для оценки возможностей по ускорению/оптимизации производителя, которого вы выбираете.

Мне кажется важным предложить вам исследовать ваши потребности, прежде чем вы примите решение. NetFlow может быть великолепной возможностью для определения ваших действительных потребностей. Понимание типов трафика, который проходит через вашу WAN, позволит вам принять более обоснованное решение.

Какой процент трафика, проходящего внутри вашей WAN, имеет отношение к вашему бизнесу?

Если вы обнаружите, что более, чем 50% вашего трафика составляет нежелательный веб-трафик, то простое использование DSCP и очередей на базе классов позволит вам решить проблемы производительности для бизнес-приложений.
Далее...
 

Согласно отчету аналитической компании Forrester , 48% атак на корпоративные данные в 2009 году были осуществлены внутренними инсайдерами, что на 26% превышает показатели 2008 года. Быстро развивающаяся IT-консумеризация, мобильный интернет разрушают информационную защиту предприятий и аналитики сегодня все больше думают о том, как контролировать и защищать внутреннюю сеть, а не только периметр.

Этот отчет Forrester, носящий название "Вытащите свою голову из песка и обернитесь: рассмотрим возможности анализа и обеспечения прозрачности сети", посвящен дискуссии о механизмах мониторинга сети и пользе, которую он приносит. Forrester рассматривает технологии класса NAV (Network Analysis and Visibility), такие как те, которые используются в Lancope StealthWatch.

Далее...
 

Все больше производителей начинает поддерживать NetFlow в своих продуктах. В частности, SonicWall недавно добавила поддержку NetFlow v5/v9/IPFIX в свою операционную систему SonicOS Enhanced v5.8.

Специалисты Lancope проверили новую систему и убедились - она работает. Теперь вы легко можете конфигурировать файервол SonicWall, который работает под управлением SonicOS v5.8, для передачи потоков в систему анализа данных StealthWatch . Теперь немного о деталях...

Рассмотрим настройку SonicWall и его механизм экспорта потоков в действии.
 Далее...

Компания VSS Monitoring, лидер в области систем захвата сетевого трафика, и компания Web Control (www.web-control.ru), российский поставщик специализированных систем управления сетевой безопасностью и мониторинга сети, объявляют о заключении официального соглашения, согласно которому российская фирма получила статус Master Reseller и право продаж оборудования американского производителя на территории России.

Web Control выводит на российский рынок лучшие на сегодняшний день на рынке системы распределенного захвата трафика - VSS Monitoring Distributed Traffic Capture и сетевые ответвители (tap), и начинает предлагать их своим партнерам – российским системным интеграторам и реселлерам сетевого оборудования. Новое для России оборудование сегодня очень востребовано на ключевых рынках, таких как телекоммуникации, финансы, промышленность, нефтегаз, энергетика и др.

Заключив соглашение с VSS Monitoring, Web Control нашел партнера и продукты, которые очень хорошо дополняют уже существующую линейку предложений российской компании для управления безопасностью и сетевого мониторинга. Оборудование VSS Monitoring уже доступно для заказчиков.

Системы VSS Monitoring Distributed Traffic Capture предназначены для работы в качестве промежуточного слоя между сетевой инфраструктурой и оборудованием обеспечения безопасности и анализа трафика. Система, включающая в себя от двух до множества соединенных между собой с помощью собственной «разумной» технологии vStack+ устройств захвата трафика, собирает для пассивного мониторинга копию трафика через ответвители или SPAN-порты коммутаторов, которые могут находиться в любой точке мира. Эта технология позволяет обрабатывать трафик и передавать его в любое сетевое оборудования для мониторинга и обеспечения безопасности в реальном времени, даже через WAN.

Уникальный подход VSS Monitoring к захвату трафика отражает парадигму отхода от традиционных систем, от не масштабируемых сетевых ответвителей (tap), к гибким в использовании интегрированным решениям, функционал которых соответствует растущим требованиям распределенных сетей и современных систем мониторинга.

«Web Control и VSS Monitoring объединили свои усилия для более эффективного удовлетворения потребностей наших клиентов в различных отраслях при построении надежных систем управления сетями, - говорит Андрей Акинин, директор по развитию бизнеса российской компании. – Создание полной видимости всех происходящих в сети процессов очень важно для обеспечения производительности и полной информационной безопасности в современных сетях. VSS Monitoring Distributed Traffic Capture Systems отлично дополняет те решения, которые уже поставляет Web Control для организации полноценной системы обслуживания конвергентных сетей любого масштаба. Наша ориентация на лучшие технологии, надежность и возможности масштабирования оборудования отражается во все возрастающей востребованности решений Web Control».

«Web Control отличается своей направленностью на выбор только лучших в своей сфере решений, предназначенных для крупных, распределенных корпораций и телекоммуникационных сетей, - отметил Теренс Бреслин (Terence Breslin), CEO компании VSS Monitoring. – И мы рады сотрудничать с этой компанией с целью вывода на российский рынок новых мощных инструментов обеспечения мониторинга сетей, необходимых для повышения производительности, безопасности сети и, в конечном итоге, ROI».
 

Компания St.Bernard Software, лидер в области решений по управлению безопасностью контента, объявила об изменении названия на EdgeWave. Ребрендинг компании связан со значительным расширением портфеля решений и услуг в сфере управления безопасностью контента ( Secure Content Management, SCM), которые включают в себя веб- и почтовую безопасность, защиту информации, системы класса e-reputation и email.

"Компания очень быстро эволюционировала за последние 12 месяцев и мы решили провести ребрендинг, чтобы отобразить нашу расширившуюся миссию, основанную на создании эффективных систем в сфере веб- и email-безопасности, - сказал Лу Райан (Lou Ryan), CEO и председатель совета директоров компании. - За последний год мы сделали серьезный шаг вперед, усилив нашу команду директоров и дополнительно набрав талантливых специалистов, обновили наши существующие продукты, расширили портфолио технологических разработок и переработали нашу рыночную стратегию, достигли большей эффективности в работе. Мы верим, что эти усилия воплотятся в большее удовлетворение нужд клиентов и позволят нашему бизнесу быстро развиваться".

Дистрибутором продуктов и решений EdgeWave в России является компания Web Control. Отметим, что недавно, перед началом нового года, Web Control запустила новый сайт, посвященный одному из флагманских продуктов компании EdgeWave - веб-фильтру iPrism (www.iprism.ru).
 

Так компания Gartner оценила достоинства одного из наиболее востребованных устройств компании Blue Coat - Blue Coat ProxySG, используемого для ускорения и оптимизации работы с email, корпоративными приложениями, видео разных типов, веб-контентом, приложениями класса Software-as-a-Service (SaaS), а также файлового доступа.

Ознакомиться с отчетом компании Gartner можно здесь.

"Требования к системам на рынке оптимизации WAN меняются очень быстро и значительно. Ключевыми причинами существующего сегодня быстрого роста потребления интернет-трафика являются передача видео, использование все увеличивающегося количества веб-приложений и услуг на базе облачных приложений. Основные тренды рынка требуют, чтобы решения по оптимизации WAN поддерживали эти новые требования к производительности, - говорит Steve Daheb, главный вице президент и CMO компании Blue Coat. - Наше оборудование уникально и обеспечивает требования к WAN-оптимизации как для традиционных типов данных, так и приложений, таких как, например, резервное копирование, восстановление данных, а также удовлетворяет все возрастающим потребностям ускорения веб-приложений и использования мультимедиа".

Кроме того, Blue Coat ProxySG вошел в число устройств, которые рассматриваются в исследовании "Magic Quadrant for Secure Web Gateway". Этот отчет можно прочитать здесь.
 

Компания Web Control (www.web-control.ru), российский поставщик специализированных систем управления сетевой безопасностью и мониторинга сети и многолетний дистрибутор решений компании Blue Coat, получила официальный статус BlueTouch® Support Partner и начала оказывать услуги по сервисной поддержке оборудования и ПО Blue Coat в России.
Компания Web Control, как официальный сервисный партнер Blue Coat, будет контролировать весь цикл замены оборудования в случае его неисправности и управлять всем спектром сервиса, начиная от диагностирования неисправностей до организации квалифицированной поддержки пользователей. Web Control теперь предлагает своим заказчикам различные уровни поддержки по замене неисправного оборудования, начиная от возврата на завод и заканчивая откликом в течение четырех часов и немедленной заменой неисправных устройств с сервисного склада. Кроме того, Web Control обеспечивает онлайн- и телефонную поддержку пользователей класса Level 1 и Level 2 (в терминах Blue Coat). В более сложных случаях, когда требуется поддержка класса Level3, российская компания обеспечивает связь потребителей с соответствующей службой компании-производителя.
По словам директора по развитию бизнеса Web Control Андрея Акинина, «сотрудничество с Blue Coat началось более пяти лет назад и сертификация нашей компании в качестве российского сервисного партнера является вполне очевидным шагом в развитии наших взаимоотношений. Получение компанией Web Control нового партнерского статуса создает выигрышные условия для всех участвующих сторон. Заказчики в нашей стране получают возможность сервисного обслуживания своих устройств Blue Coat локально, в России, а наша компания, в свою очередь, значительно расширяет спектр своих предложений в области сервиса. Сегодня мы уже можем уверенно заявить, что устройства Blue Coat, дополненные нашим уникальным для России предложением по сервису, представляют собой идеальное решение для компаний, которым требуются лучшие в своем классе продукты для обеспечения веб-безопасности и оптимизации WAN».
В свою очередь, вице-президент компании Blue Coat по поддержке и сервису Терри Клиркин (Terry Clearkin) сказал: «Как партнер, имеющий статус BlueTouch Support Partner, компания Web Control сертифицирована нами для организации качественного сервиса и поддержки пользователей, что необходимо для сохранения позитивного отношения к нашим решениям и технологиям. Имея возможность пользования локальной поддержкой и развитым сервисом, наши заказчики в России теперь могут полностью полагаться на внедренное у них оборудование Blue Coat и его надежное функционирование».
Возможность участия в своей программе BlueTouch Support Partner компания Blue Coat предлагает только своим партнерам, имеющим статус Blue Coat Channel Advantage Partner, которые рассматривают сервис и поддержку в качестве существенного элемента своего бизнеса. Чтобы обеспечивать высокую степень удовлетворенности заказчика, партнер должен соответствовать весьма строгим требованиям по организации поддержки, а его специалисты должны пройти соответствующий тренинг и получить необходимую техническую сертификацию. Только после этого BlueTouch Support Partner получает право транслировать все возможности поддержки Blue Coat своим клиентам. В России это теперь может обеспечить компания Web Control.
 

Компания Blue Coat объявила о расширении возможностей защиты от вредоносных программ в своем "облачном" сервисе WebPulse. Новые методы защиты в сервисе WebPulse доступны уже сейчас всем пользователям и не требуют загрузки или обновления программного обеспечения.

Поскольку веб-угрозы продолжают быстро эволюционировать и в Интернете постоянно появляется новое содержимое, очень важно, чтобы системы веб-защиты развивались с такой же скоростью. Только за последние 90 дней компания Blue Coat добавила в сервис WebPulse более 100 новых правил обнаружения вредоносного трафика, например ряда бот-сетей и эксплойтов, и более быстрого распознавания нового и неизвестного содержимого. Приблизительно 65% новых правил разработаны с целью содействия в распознавании вредоносных программ и их источников и направлены на выявление трафика от определенных вредоносных программ или бот-сети.

Кроме того, компания Blue Coat разработала и добавила в сервис WebPulse сканер вредоносных файлов PDF, чтобы обезопасить пользователей от источников с эксплойтами, содержащихся во таких файлах, действие которых направлено на определенные уязвимые места в программах Acrobat и Acrobat Reader. Этот сканер отмечает в реальном времени вредоносные и подозрительные файлы PDF для дополнительного фонового изучения. Сканер вредоносных файлов PDF недавно обеспечил защиту пользователей сервиса WebPulse от нескольких атак, во время которых вредоносные файлы PDF были размещены через зараженный рекламный сервер на незараженных веб-сайтах.

С целью получения более подробных сведений о вредоносном и подозрительном содержимом компания Blue Coat добавила в фоновый процесс сервиса WebPulse детектор вредоносных сценариев. Он регистрирует Java скрипты миллионов запрашиваемых ежедневно веб-страниц. С помощью получаемых сведений исследователи Blue Coat могут определять характеристики, указывающие на подозрительное поведение, и создавать соответствующие системы защиты. Этот новый детектор недавно определил и обеспечил защиту пользователей сервиса WebPulse от сети подозрительных веб-сайтов с загрузочными материалами, на которых присутствовали надежно зашифрованные эксплойты фиктивного антивирусного сканера.

Новые методы защиты дополняют существующие системы защиты сервиса WebPulse разнообразными средствами, цель которых - распределить по категориям новое и неизвестное содержимое, определить вредоносные программы и защитить больше пользователей (например сканер вредоносных сигнатур и поведенческий сканер, запатентованные поведенческие анализаторы вредоносных программ и технологии статистического анализа, запатентованные механизмы обнаружения фишинга в реальном времени, алгоритмы веб-репутации и аналитические источники сторонних организаций). Чтобы соответствовать скорости, с которой вредоносные веб-сайты меняют свои домены, в сервисе Blue Coat WebPulse также используются усовершенствованные модули «отпечатков», которые быстро распознают похожие веб-сайты, когда они появляются на новых серверах. Эти технологии вместе с уникальной доступностью запросов в реальном времени от 70 миллионов пользователей превращают сервис WebPulse в самую полную доступную систему веб-защиты.