Zaistenie bezpečnosti sietí v rýchlo sa meniacom IT prostredí a neustálom vývoji používateľov si vyžaduje celý rad sofistikovaných nástrojov na vykonávanie analýzy v reálnom čase. Vaša monitorovacia infraštruktúra môže mať monitorovanie výkonu siete a aplikácií (NPM/APM), záznamníky údajov a tradičné sieťové analyzátory, zatiaľ čo vaše obranné systémy využívajú firewally, systémy ochrany pred prienikmi (IPS), systémy prevencie úniku údajov (DLP), antivírusový softvér a ďalšie riešenia.
Bez ohľadu na to, aké špecializované sú bezpečnostné a monitorovacie nástroje, všetky majú dve spoločné veci:
• Potrebujete presne vedieť, čo sa deje v sieti
• Výsledky analýzy sú založené iba na prijatých údajoch
Prieskum, ktorý v roku 2016 uskutočnila Asociácia pre riadenie podnikov (EMA), zistil, že takmer 30 % respondentov nedôveruje svojim nástrojom, že dostanú všetky potrebné údaje. To znamená, že v sieti existujú slepé miesta v monitorovaní, čo v konečnom dôsledku vedie k márnemu úsiliu, nadmerným nákladom a vyššiemu riziku napadnutia hackermi.
Prehľadnosť si vyžaduje vyhýbanie sa zbytočným investíciám a monitorovanie slepých miest siete, čo si vyžaduje zhromažďovanie relevantných údajov o všetkom, čo sa v sieti deje. Rozbočovače/splittery a zrkadlové porty sieťových zariadení, známe aj ako SPAN porty, sa stávajú prístupovými bodmi používanými na zachytávanie prevádzky na analýzu.
Ide o relatívne „jednoduchú operáciu“; skutočnou výzvou je efektívne dostať dáta zo siete do každého nástroja, ktorý ich potrebuje. Ak máte len niekoľko segmentov siete a relatívne málo analytických nástrojov, tieto dva je možné priamo prepojiť. Avšak vzhľadom na rýchlosť, akou sa siete naďalej škálujú, aj keď je to logicky možné, existuje veľká šanca, že toto priame prepojenie vytvorí neriešiteľnú nočnú moru v oblasti riadenia.
Agentúra EMA uviedla, že 35 % podnikových inštitúcií uviedlo ako hlavný dôvod, prečo neboli schopné plne monitorovať svoje sieťové segmenty, nedostatok portov a rozbočovačov SPAN. Porty na špičkových analytických nástrojoch, ako sú firewally, môžu byť tiež vzácnejšie, preto je dôležité, aby ste nepreťažovali svoje zariadenia a neznižovali ich výkon.
Prečo potrebujete sieťových paketových brokerov?
Broker sieťových paketov (NPB) sa inštaluje medzi rozbočovač alebo porty SPAN používané na prístup k sieťovým dátam, ako aj k bezpečnostným a monitorovacím nástrojom. Ako už názov napovedá, základnou funkciou brokera sieťových paketov je: koordinovať dáta sieťových paketov, aby sa zabezpečilo, že každý analytický nástroj presne získa potrebné dáta.
NPB pridáva čoraz dôležitejšiu vrstvu inteligencie, ktorá znižuje náklady a zložitosť a pomáha vám:
Získať komplexnejšie a presnejšie údaje pre lepšie rozhodovanie
Broker sieťových paketov s pokročilými funkciami filtrovania sa používa na poskytovanie presných a efektívnych údajov pre vaše nástroje na monitorovanie a analýzu bezpečnosti.
Prísnejšie zabezpečenie
Keď nedokážete odhaliť hrozbu, je ťažké ju zastaviť. NPB je navrhnutý tak, aby zabezpečil, že firewally, IPS a ďalšie obranné systémy majú vždy prístup k presným údajom, ktoré potrebujú.
Riešte problémy rýchlejšie
V skutočnosti už len samotná identifikácia problému predstavuje 85 % MTTR. Prestoje znamenajú stratu peňazí a nesprávne zaobchádzanie s nimi môže mať zničujúci dopad na vaše podnikanie.
Kontextové filtrovanie, ktoré poskytuje NPB, vám pomáha rýchlejšie odhaliť a určiť hlavnú príčinu problémov vďaka zavedeniu pokročilej inteligencie aplikácií.
Zvýšiť iniciatívu
Metadáta poskytované inteligentnou NPB prostredníctvom NetFlow tiež uľahčujú prístup k empirickým údajom na riadenie využitia šírky pásma, trendov a rastu, aby sa problém zastavil v zárodku.
Lepšia návratnosť investícií
Inteligentná NPB dokáže nielen agregovať prevádzku z monitorovacích bodov, ako sú prepínače, ale aj filtrovať a zhromažďovať údaje s cieľom zlepšiť využitie a produktivitu bezpečnostných a monitorovacích nástrojov. Spracovaním iba relevantnej prevádzky môžeme zlepšiť výkon nástrojov, znížiť preťaženie, minimalizovať falošné poplachy a dosiahnuť väčšie bezpečnostné pokrytie s menším počtom zariadení.
Päť spôsobov, ako zlepšiť návratnosť investícií pomocou sieťových paketových brokerov:
• Rýchlejšie riešenie problémov
• Rýchlejšie odhalenie zraniteľností
• Znížte záťaž bezpečnostných nástrojov
• Predĺžte životnosť monitorovacích nástrojov počas aktualizácií
• Zjednodušte dodržiavanie predpisov
Čo presne môže NPB urobiť?
Agregácia, filtrovanie a poskytovanie údajov znie teoreticky jednoducho. V skutočnosti však inteligentná NPB dokáže vykonávať veľmi zložité funkcie, čo vedie k exponenciálne vyššej efektivite a zvýšeniu bezpečnosti.
Jednou z funkcií je vyrovnávanie záťaže a prenosovej kapacity. Napríklad, ak upgradujete sieť dátového centra z 1 Gb/s na 10 Gb/s, 40 Gb/s alebo vyššiu rýchlosť, NPB môže spomaliť, aby alokoval vysokorýchlostnú prevádzku existujúcej skupine nízkorýchlostných analytických monitorovacích nástrojov 1G alebo 2G. Toto nielenže zvyšuje hodnotu vašej súčasnej investície do monitorovania, ale tiež zabraňuje nákladným aktualizáciám pri migrácii IT.
Medzi ďalšie výkonné funkcie, ktoré NPB vykonáva, patria:
Redundantné dátové pakety sú deduplikované
Analytické a bezpečnostné nástroje podporujú príjem veľkého počtu duplicitných paketov preposielaných z viacerých rozbočovačov. NPB dokáže eliminovať duplicitu, aby sa zabránilo plytvaniu výpočtovým výkonom nástrojov pri spracovaní redundantných údajov.
Dešifrovanie SSL
Šifrovanie Secure Socket Layer (SSL) je štandardná technika používaná na bezpečný prenos súkromných informácií. Hackeri však môžu v šifrovaných paketoch skryť aj škodlivé kybernetické hrozby.
Preskúmanie týchto údajov je potrebné dešifrovať, ale rozloženie kódu si vyžaduje vzácny výpočtový výkon. Poprední sieťoví sprostredkovatelia paketov môžu odbremeniť bezpečnostné nástroje od dešifrovania, aby zabezpečili celkovú viditeľnosť a zároveň znížili zaťaženie drahých zdrojov.
Maskovanie údajov
Dešifrovanie SSL sprístupňuje údaje komukoľvek s prístupom k bezpečnostným a monitorovacím nástrojom. NPB môže pred poskytnutím informácií zablokovať čísla kreditných kariet alebo sociálneho zabezpečenia, chránené zdravotné informácie (PHI) alebo iné citlivé osobné identifikačné údaje (PII), aby neboli poskytnuté nástroju a jeho správcom.
Odizolovanie hlavičky
NPB dokáže odstrániť hlavičky ako VLAN, VXLAN, L3VPN, takže nástroje, ktoré nedokážu spracovať tieto protokoly, môžu stále prijímať a spracovávať paketové dáta. Kontextovo orientovaná viditeľnosť pomáha odhaliť škodlivé aplikácie bežiace v sieti a stopy, ktoré útočníci zanechávajú pri svojej práci v systéme a sieti.
Aplikačné a bezpečnostné informácie
Včasná detekcia zraniteľností znižuje stratu citlivých informácií a v konečnom dôsledku aj náklady spojené so zraniteľnosťami. Kontextovo uvedomelá viditeľnosť, ktorú poskytuje NPB, sa dá použiť na odhalenie indikátorov narušenia (IOC), identifikáciu geolokácie útočných vektorov a boj proti kryptografickým hrozbám.
Inteligencia aplikácií presahuje vrstvy 2 až 4 (model OSI) paketových dát až po vrstvu 7 (aplikačná vrstva). Je možné vytvárať a exportovať rozsiahle údaje o správaní a polohe používateľov a aplikácií, aby sa zabránilo útokom na aplikačnej vrstve, kde sa škodlivý kód maskuje ako bežné údaje a platné požiadavky klientov.
Kontextovo orientovaná viditeľnosť pomáha odhaliť škodlivé aplikácie spustené vo vašej sieti a stopy, ktoré zanechávajú útočníci pri svojom pôsobení vo vašom systéme a sieti.
Monitorovanie aplikácií
Viditeľnosť vnímania aplikácií má tiež zásadný vplyv na výkon a riadenie. Možno chcete vedieť, kedy zamestnanci použili cloudové služby, ako je Dropbox alebo webový e-mail, na obídenie bezpečnostných politík a prenos firemných súborov, alebo kedy sa bývalí zamestnanci pokúsili získať prístup k súborom pomocou cloudových osobných úložných služieb.
Výhody NPB
• Jednoduché použitie a správa
• Inteligencia na odstránenie záťaže tímu
• Bez straty paketov – spúšťa pokročilé funkcie
• 100% spoľahlivosť
• Vysokovýkonná architektúra
Čas uverejnenia: 20. januára 2025
