Забезпечення безпеки мереж у ІТ-середовищі, яке швидко змінюється, і безперервна еволюція користувачів вимагає ряду складних інструментів для виконання аналізу в реальному часі. Ваша інфраструктура моніторингу може мати моніторинг продуктивності мережі та програм (NPM/APM), реєстратори даних і традиційні мережеві аналізатори, тоді як ваші системи захисту використовують брандмауери, системи захисту від вторгнень (IPS), запобігання витоку даних (DLP), захист від зловмисного програмного забезпечення та інші рішення.
Незалежно від того, наскільки спеціалізованими є інструменти безпеки та моніторингу, усі вони мають дві спільні риси:
• Потрібно точно знати, що відбувається в мережі
• Результати аналізу ґрунтуються лише на отриманих даних
Опитування, проведене Асоціацією управління підприємствами (EMA) у 2016 році, показало, що майже 30% респондентів не довіряють своїм інструментам для отримання всіх необхідних даних. Це означає, що в мережі є сліпі зони моніторингу, що зрештою призводить до марних зусиль, надмірних витрат і більшого ризику бути зламаним.
Видимість вимагає уникнення марних інвестицій і сліпих зон моніторингу мережі, що вимагає збору відповідних даних про все, що відбувається в мережі. Розгалужувачі/розгалужувачі та дзеркальні порти мережевих пристроїв, також відомі як порти SPAN, стають точками доступу, які використовуються для захоплення трафіку для аналізу.
Це відносно «проста операція»; Справжня проблема полягає в тому, щоб ефективно передати дані з мережі кожному інструменту, який цього потребує. Якщо у вас є лише кілька сегментів мережі та відносно небагато інструментів аналізу, їх можна з’єднати безпосередньо. Однак, враховуючи швидкість, з якою мережі продовжують масштабуватися, навіть якщо це логічно можливо, існує велика ймовірність того, що це з’єднання «один-на-один» створить нерозв’язний кошмар управління.
EMA повідомила, що 35% корпоративних установ назвали нестачу портів і розгалужувачів SPAN основною причиною, чому вони не можуть повністю контролювати свої сегменти мережі. Портів на високоякісних інструментах аналізу, таких як брандмауери, також може бути менше, тому дуже важливо не перевантажувати обладнання та не знижувати продуктивність.
Навіщо вам потрібні брокери мережевих пакетів?
Мережевий пакетний брокер (NPB) встановлюється між спліттером або портами SPAN, які використовуються для доступу до мережевих даних, а також інструментів безпеки та моніторингу. Як випливає з назви, основною функцією брокера мережевих пакетів є: координувати мережеві пакетні дані, щоб кожен інструмент аналізу точно отримував потрібні дані.
NPB додає все більш важливий рівень інтелекту, який зменшує вартість і складність, допомагаючи вам:
Щоб отримати більш вичерпні та точні дані для кращого прийняття рішень
Мережевий брокер пакетів із розширеними можливостями фільтрації використовується для надання точних і ефективних даних для ваших інструментів моніторингу та аналізу безпеки.
Посилена охорона
Коли ви не можете виявити загрозу, її важко зупинити. NPB розроблено для того, щоб брандмауери, IPS та інші системи захисту завжди мали доступ до тих даних, які їм потрібні.
Вирішуйте проблеми швидше
Насправді лише визначення проблеми становить 85% MTTR. Простой означає втрату грошей, а неправильне поводження з ними може мати руйнівний вплив на ваш бізнес.
Контекстно-залежна фільтрація, надана NPB, допомагає швидше виявити та визначити першопричину проблем завдяки впровадженню розширеного інтелекту додатків.
Підвищення ініціативи
Метадані, надані Smart NPB через NetFlow, також полегшують доступ до емпіричних даних для керування використанням пропускної здатності, тенденціями та зростанням, щоб усунути проблему в зародку.
Краща рентабельність інвестицій
Smart NPB може не лише агрегувати трафік із точок моніторингу, таких як комутатори, але також фільтрувати та зіставляти дані для покращення використання та продуктивності інструментів безпеки та моніторингу. Обробляючи лише релевантний трафік, ми можемо покращити продуктивність інструментів, зменшити затори, мінімізувати помилкові спрацьовування та досягти більшого охоплення безпеки за допомогою меншої кількості пристроїв.
П’ять способів підвищити рентабельність інвестицій за допомогою мережевих пакетних брокерів:
• Швидше усунення несправностей
• Швидше виявляйте вразливості
• Зменшити навантаження на інструменти безпеки
• Подовження терміну служби засобів моніторингу під час оновлення
• Спростити відповідність
Що саме може зробити НПБ?
Агрегування, фільтрація та доставка даних теоретично звучить просто. Але насправді розумний NPB може виконувати дуже складні функції, що призводить до експоненціального підвищення ефективності та безпеки.
Однією з функцій є балансування трафіку. Наприклад, якщо ви оновлюєте мережу свого центру обробки даних з 1 Гбіт/с до 10 Гбіт/с, 40 Гбіт/с або вище, NPB може уповільнити роботу, щоб розподілити високошвидкісний трафік на наявну групу низькошвидкісних інструментів моніторингу 1G або 2G. Це не тільки збільшує вартість ваших поточних інвестицій у моніторинг, але й дозволяє уникнути дорогих оновлень під час міграції ІТ.
Серед інших потужних функцій NPB:
Надлишкові пакети даних дедуплікуються
Інструменти аналізу та безпеки підтримують прийом великої кількості дублікатів пакетів, які пересилаються з кількох роздільників. NPB може усунути дублювання, щоб інструменти не витрачали обчислювальну потужність під час обробки надлишкових даних.
Дешифрування SSL
Шифрування Secure Socket Layer (SSL) є стандартною технікою, яка використовується для безпечного надсилання приватної інформації. Однак хакери також можуть приховувати шкідливі кіберзагрози в зашифрованих пакетах.
Перевірка цих даних повинна бути розшифрована, але розкладання коду потребує дорогоцінної потужності обробки. Провідні мережеві брокери пакетів можуть розвантажити дешифрування з інструментів безпеки, щоб забезпечити загальну видимість і одночасно зменшити навантаження на дорогі ресурси.
Маскування даних
Розшифровка SSL робить дані видимими для всіх, хто має доступ до інструментів безпеки та моніторингу. NPB може заблокувати номери кредитних карток або номери соціального страхування, захищену інформацію про здоров’я (PHI) або іншу конфіденційну особисту інформацію (PII) перед передачею інформації, щоб вона не розкривалася інструменту та його адміністраторам.
Видалення заголовка
NPB може видаляти заголовки, такі як VLAN, VXLAN, L3VPN, тому інструменти, які не можуть працювати з цими протоколами, можуть отримувати та обробляти пакетні дані. Контекстно-залежна видимість допомагає виявити шкідливі програми, запущені в мережі, і сліди, залишені зловмисниками під час роботи в системі та мережі.
Розвідка програм і загроз
Раннє виявлення вразливостей зменшує втрату конфіденційної інформації та, зрештою, витрати на вразливість. Контекстно-залежну видимість, яку забезпечує NPB, можна використовувати для виявлення індикаторів вторгнення (IOC), визначення геолокації векторів атак і боротьби з криптографічними загрозами.
Інтелект додатків поширюється за межі рівнів 2–4 (модель OSI) пакетних даних до рівня 7 (рівень додатків). Можна створювати та експортувати багаті дані про поведінку та місцезнаходження користувачів і додатків, щоб запобігти атакам на прикладному рівні, коли шкідливий код маскується під звичайні дані та дійсні запити клієнта.
Контекстно-залежна видимість допомагає виявити шкідливі програми, запущені у вашій мережі, і сліди, залишені зловмисниками під час роботи у вашій системі та мережі.
Моніторинг додатків
Видимість сприйняття програми також має глибокий вплив на продуктивність і управління. Можливо, ви хочете знати, коли співробітники використовували хмарні служби, такі як Dropbox або веб-електронну пошту, щоб обійти політику безпеки та передати файли компанії, або коли колишні співробітники намагалися отримати доступ до файлів за допомогою персональних хмарних служб зберігання.
Переваги НПБ
• Простий у використанні та управлінні
• Інтелект для усунення тягаря команди
• Без втрати пакетів - працює з розширеними функціями
• 100% надійність
• Високопродуктивна архітектура
Час публікації: 20 січня 2025 р
