Norint užtikrinti tinklų saugumą greitai kintančioje IT aplinkoje ir nuolat besikeičiančioje vartotojų raidoje, reikia daugybės sudėtingų įrankių, kad būtų galima atlikti analizę realiuoju laiku. Jūsų stebėjimo infrastruktūroje gali būti tinklo ir programų našumo stebėjimo (NPM/APM), duomenų kaupikliai ir tradiciniai tinklo analizatoriai, o jūsų gynybos sistemos naudoja ugniasienes, apsaugos nuo įsibrovimų sistemas (IPS), duomenų nutekėjimo prevenciją (DLP), apsaugą nuo kenkėjiškų programų ir kiti sprendimai.
Kad ir kokios specializuotos būtų saugos ir stebėjimo priemonės, jie visi turi du bendrus dalykus:
• Reikia tiksliai žinoti, kas vyksta tinkle
• Analizės rezultatai grindžiami tik gautais duomenimis
2016 metais Įmonių valdymo asociacijos (EMA) atlikta apklausa atskleidė, kad beveik 30% respondentų nepasitiki savo įrankiais gauti visus reikiamus duomenis. Tai reiškia, kad tinkle yra stebėjimo aklųjų zonų, o tai galiausiai lemia bergždžias pastangas, pernelyg dideles išlaidas ir didesnę riziką būti įsilaužtam.
Matomumas reikalauja vengti švaistomų investicijų ir tinklo stebėjimo aklųjų zonų, todėl reikia rinkti atitinkamus duomenis apie viską, kas vyksta tinkle. Tinklo įrenginių skirstytuvai / skirstytuvai ir veidrodiniai prievadai, taip pat žinomi kaip SPAN prievadai, tampa prieigos taškais, naudojamais srautui fiksuoti analizei.
Tai gana „paprasta operacija“; tikras iššūkis yra efektyviai perkelti duomenis iš tinklo į kiekvieną įrankį, kuriam jų reikia. Jei turite tik kelis tinklo segmentus ir palyginti nedaug analizės įrankių, juos galima tiesiogiai sujungti. Tačiau, atsižvelgiant į greitį, kuriuo tinklai ir toliau plečiasi, net jei tai logiškai įmanoma, yra didelė tikimybė, kad šis „vienas su vienu“ ryšys sukurs neįveikiamą valdymo košmarą.
EMA pranešė, kad 35 % įmonių institucijų nurodė SPAN prievadų ir skirstytuvų trūkumą kaip pagrindinę priežastį, kodėl jos negalėjo visapusiškai stebėti savo tinklo segmentų. Aukštos klasės analizės įrankių, tokių kaip ugniasienės, prievadai taip pat gali būti menkesni, todėl labai svarbu neperkrauti įrangos ir nepabloginti našumo.
Kodėl jums reikia tinklo paketų brokerių?
Tinklo paketų brokeris (NPB) yra įdiegtas tarp skirstytuvo arba SPAN prievadų, naudojamų tinklo duomenims pasiekti, taip pat saugos ir stebėjimo įrankiams. Kaip rodo pavadinimas, pagrindinė tinklo paketų brokerio funkcija yra: koordinuoti tinklo paketų duomenis, siekiant užtikrinti, kad kiekvienas analizės įrankis tiksliai gautų jai reikalingus duomenis.
NPB prideda vis svarbesnį žvalgybos lygį, kuris sumažina išlaidas ir sudėtingumą, padėdamas jums:
Gauti išsamesnius ir tikslesnius duomenis, kad būtų lengviau priimti sprendimus
Tinklo paketų brokeris su pažangiomis filtravimo galimybėmis naudojamas siekiant pateikti tikslius ir efektyvius duomenis jūsų stebėjimo ir saugos analizės įrankiams.
Griežtesnis saugumas
Kai negalite aptikti grėsmės, sunku ją sustabdyti. NPB sukurta siekiant užtikrinti, kad ugniasienės, IPS ir kitos gynybos sistemos visada turėtų prieigą prie tikslių joms reikalingų duomenų.
Išspręskite problemas greičiau
Tiesą sakant, vien problemos nustatymas sudaro 85% MTTR. Prastova reiškia, kad pinigai prarandami, o netinkamas jų tvarkymas gali turėti pražūtingos įtakos jūsų verslui.
Kontekstą suvokiantis filtravimas, kurį teikia NPB, padeda greičiau atrasti ir nustatyti pagrindinę problemų priežastį, įdiegus pažangų programų intelektą.
Padidinti iniciatyvą
Metaduomenys, kuriuos išmanusis NPB teikia per NetFlow, taip pat palengvina prieigą prie empirinių duomenų, kad būtų galima valdyti pralaidumo naudojimą, tendencijas ir augimą, kad išspręstų problemą.
Geresnė investicijų grąža
Išmanusis NPB gali ne tik kaupti srautą iš stebėjimo taškų, pvz., jungiklių, bet ir filtruoti bei lyginti duomenis, kad pagerintų saugos ir stebėjimo įrankių naudojimą ir našumą. Tvarkydami tik atitinkamą srautą galime pagerinti įrankio našumą, sumažinti spūstis, sumažinti klaidingų teigiamų rezultatų skaičių ir pasiekti didesnę saugumo aprėptį naudojant mažiau įrenginių.
Penki būdai pagerinti IG naudojant tinklo paketų brokerius:
• Greitesnis trikčių šalinimas
• Greičiau aptikti pažeidžiamumą
• Sumažinti saugumo priemonių naštą
• Pailginkite stebėjimo įrankių naudojimo laiką atnaujinimo metu
• Supaprastinti atitiktį
Ką tiksliai gali padaryti NPB?
Duomenų kaupimas, filtravimas ir pateikimas teoriškai skamba paprastai. Tačiau iš tikrųjų išmanusis NPB gali atlikti labai sudėtingas funkcijas, todėl efektyvumas ir saugumas padidėja eksponentiškai.
Apkrovos balansavimo srautas yra viena iš funkcijų. Pavyzdžiui, jei atnaujinate duomenų centro tinklą nuo 1 Gbps iki 10 Gbps, 40 Gbps ar daugiau, NPB gali sulėtinti greitį, kad paskirstytų didelės spartos srautą esamai 1G arba 2G mažos spartos analizės stebėjimo įrankių grupei. Tai ne tik padidina dabartinių investicijų į stebėjimą vertę, bet ir išvengia brangių atnaujinimų, kai IT perkeliama.
Kitos galingos NPB funkcijos:
Pertekliniai duomenų paketai panaikinami
Analizės ir saugos įrankiai palaiko daugybės pasikartojančių paketų, persiųstų iš kelių skirstytuvų, priėmimą. NPB gali pašalinti dubliavimą, kad įrankiai neeikvotų apdorojimo galios apdorojant perteklinius duomenis.
SSL iššifravimas
Secure Socket Layer (SSL) šifravimas yra standartinė technika, naudojama saugiai siųsti privačią informaciją. Tačiau įsilaužėliai taip pat gali paslėpti kenkėjiškas kibernetines grėsmes užšifruotuose paketuose.
Šių duomenų tyrimas turi būti iššifruotas, tačiau kodo išskaidymas reikalauja brangios apdorojimo galios. Pirmaujantys tinklo paketų brokeriai gali iššifruoti iš saugos įrankių, kad užtikrintų bendrą matomumą ir sumažintų brangių išteklių naštą.
Duomenų maskavimas
SSL iššifravimas daro duomenis matomus visiems, turintiems prieigą prie saugos ir stebėjimo įrankių. NPB gali užblokuoti kredito kortelių arba socialinio draudimo numerius, saugomos sveikatos informaciją (PHI) ar kitą jautrią asmenį identifikuojančią informaciją (PII), prieš perduodama informaciją, todėl ji neatskleidžiama įrankiui ir jos administratoriams.
Antraštės pašalinimas
NPB gali pašalinti antraštes, tokias kaip VLAN, VXLAN, L3VPN, todėl įrankiai, kurie negali apdoroti šių protokolų, vis tiek gali priimti ir apdoroti paketinius duomenis. Kontekstą suvokiantis matomumas padeda aptikti tinkle veikiančias kenkėjiškas programas ir užpuolikų paliktus pėdsakus, kai jie dirba sistemoje ir tinkle.
Programų ir grėsmių žvalgyba
Ankstyvas pažeidžiamumų aptikimas sumažina jautrios informacijos praradimą ir galiausiai pažeidžiamumo išlaidas. NPB teikiamas konteksto matomumas gali būti naudojamas siekiant atskleisti įsibrovimo rodiklius (IOC), nustatyti atakų vektorių geografinę vietą ir kovoti su kriptografinėmis grėsmėmis.
Programos intelektas apima ne tik nuo 2 iki 4 paketinių duomenų sluoksnių (OSI modelis) iki 7 sluoksnio (programos sluoksnis). Galima sukurti ir eksportuoti daug duomenų apie naudotojų ir programų elgseną bei vietą, kad būtų išvengta programų lygmens atakų, kai kenkėjiškas kodas prisidengia įprastais duomenimis ir galiojančiomis kliento užklausomis.
Kontekstą žinantis matomumas padeda aptikti tinkle veikiančias kenkėjiškas programas ir užpuolikų paliktus pėdsakus, kai jie dirba jūsų sistemoje ir tinkle.
Programų stebėjimas
Programos suvokimo matomumas taip pat turi didelę įtaką našumui ir valdymui. Galbūt norite sužinoti, kada darbuotojai naudojo debesyje pagrįstas paslaugas, pvz., „Dropbox“ arba žiniatinklio el. paštą, norėdami apeiti saugos politiką ir perkelti įmonės failus, arba kada buvę darbuotojai bandė pasiekti failus naudodami debesyje teikiamas asmeninės saugyklos paslaugas.
NPB nauda
• Lengva naudoti ir valdyti
• Sumanumas pašalinti komandos naštą
• Nėra paketų praradimo – veikia išplėstinės funkcijos
• 100% patikimumas
• Aukštos kokybės architektūra
Paskelbimo laikas: 2025-01-20
