Tinklų saugumui užtikrinti sparčiai besikeičiančioje IT aplinkoje ir nuolat kintant naudotojų skaičiui reikia įvairių sudėtingų įrankių, skirtų atlikti analizę realiuoju laiku. Jūsų stebėjimo infrastruktūroje gali būti tinklo ir programų našumo stebėjimas (NPM/APM), duomenų kaupikliai ir tradiciniai tinklo analizatoriai, o jūsų gynybos sistemos naudoja užkardas, įsilaužimų apsaugos sistemas (IPS), duomenų nutekėjimo prevencijos (DLP), apsaugą nuo kenkėjiškų programų ir kitus sprendimus.
Kad ir kokios specializuotos būtų saugumo ir stebėjimo priemonės, jos visos turi du bendrus dalykus:
• Reikia tiksliai žinoti, kas vyksta tinkle
• Analizės rezultatai pagrįsti tik gautais duomenimis
2016 m. Įmonių valdymo asociacijos (EMA) atlikta apklausa parodė, kad beveik 30 % respondentų nepasitiki savo įrankiais, kad jie gautų visus reikiamus duomenis. Tai reiškia, kad tinkle yra stebėjimo aklųjų zonų, kurios galiausiai lemia bergždžias pastangas, pernelyg dideles išlaidas ir didesnę įsilaužimo riziką.
Matomumui užtikrinti reikia vengti nereikalingų investicijų ir stebėti tinklo akląsias zonas, o tam reikia rinkti atitinkamus duomenis apie viską, kas vyksta tinkle. Tinklo įrenginių skirstytuvai/dalikliai ir veidrodiniai prievadai, dar vadinami SPAN prievadais, tampa prieigos taškais, naudojamais srautui fiksuoti analizei.
Tai gana „paprasta operacija“; tikrasis iššūkis yra efektyviai perduoti duomenis iš tinklo kiekvienam įrankiui, kuriam jų reikia. Jei turite tik kelis tinklo segmentus ir santykinai mažai analizės įrankių, juos galima tiesiogiai sujungti. Tačiau, atsižvelgiant į tinklų plėtros greitį, net jei tai logiškai įmanoma, yra didelė tikimybė, kad šis „vienas su vienu“ ryšys sukurs sunkiai įveikiamą valdymo košmarą.
EMA pranešė, kad 35 % įmonių institucijų nurodė SPAN prievadų ir skirstytuvų trūkumą kaip pagrindinę priežastį, kodėl jos negalėjo visapusiškai stebėti savo tinklo segmentų. Prievadų aukščiausios klasės analizės įrankiuose, tokiuose kaip užkardos, taip pat gali būti mažiau, todėl labai svarbu neperkrauti įrangos ir nesumažinti našumo.
Kodėl jums reikia tinklo paketų tarpininkų?
Tinklo paketų brokeris (NPB) įdiegiamas tarp skirstytuvo arba SPAN prievadų, naudojamų prieigai prie tinklo duomenų, taip pat saugumo ir stebėjimo įrankių. Kaip rodo pavadinimas, pagrindinė tinklo paketų brokerio funkcija yra: koordinuoti tinklo paketinius duomenis, siekiant užtikrinti, kad kiekvienas analizės įrankis tiksliai gautų reikiamus duomenis.
NPB prideda vis svarbesnį intelekto lygmenį, kuris sumažina sąnaudas ir sudėtingumą, padėdamas jums:
Norint gauti išsamesnius ir tikslesnius duomenis geresniam sprendimų priėmimui
Tinklo paketų brokeris su pažangiomis filtravimo galimybėmis naudojamas siekiant pateikti tikslius ir efektyvius duomenis jūsų stebėjimo ir saugumo analizės įrankiams.
Griežtesnis saugumas
Kai negalite aptikti grėsmės, ją sunku sustabdyti. NPB sukurta siekiant užtikrinti, kad užkardos, IPS ir kitos gynybos sistemos visada turėtų prieigą prie tiksliai tų duomenų, kurių joms reikia.
Greičiau išspręskite problemas
Iš tiesų, vien problemos nustatymas sudaro 85 % MTTR. Prastovos reiškia pinigų praradimą, o netinkamas jų valdymas gali turėti pražūtingą poveikį jūsų verslui.
NPB teikiamas kontekstinis filtravimas padeda greičiau atrasti ir nustatyti problemų priežastį, diegiant pažangias programų analitikos funkcijas.
Padidinkite iniciatyvumą
Išmaniojo NPB per „NetFlow“ teikiami metaduomenys taip pat palengvina prieigą prie empirinių duomenų, kad būtų galima valdyti pralaidumo naudojimą, tendencijas ir augimą, siekiant išspręsti problemą dar pumpure.
Didesnė investicijų grąža
Išmanusis NPB gali ne tik kaupti srautą iš stebėjimo taškų, tokių kaip komutatoriai, bet ir filtruoti bei rūšiuoti duomenis, kad pagerintų saugumo ir stebėjimo įrankių panaudojimą ir našumą. Tvarkydami tik atitinkamą srautą, galime pagerinti įrankių našumą, sumažinti perkrovas, klaidingai teigiamus rezultatus ir pasiekti didesnę saugumo aprėptį naudojant mažiau įrenginių.
Penki būdai, kaip padidinti investicijų grąžą naudojant tinklo paketų tarpininkus:
• Greitesnis trikčių šalinimas
• Greičiau aptikti pažeidžiamumus
• Sumažinkite saugumo įrankių naštą
• Pratęskite stebėjimo įrankių tarnavimo laiką atnaujinimų metu
• Supaprastinti atitiktį reikalavimams
Ką tiksliai gali padaryti NPB?
Duomenų agregavimas, filtravimas ir pateikimas teoriškai skamba paprastai. Tačiau iš tikrųjų išmaniosios NPB gali atlikti labai sudėtingas funkcijas, todėl efektyvumas ir saugumas yra eksponentiškai didesni.
Apkrovos balansavimo srautas yra viena iš funkcijų. Pavyzdžiui, jei atnaujinate savo duomenų centro tinklą nuo 1 Gbps iki 10 Gbps, 40 Gbps ar daugiau, NPB gali sulėtinti greitį, kad paskirstytų didelės spartos srautą esamai 1G arba 2G mažos spartos analizės stebėjimo įrankių grupei. Tai ne tik padidina jūsų dabartinės stebėjimo investicijos vertę, bet ir leidžia išvengti brangių atnaujinimų, kai IT migruojama.
Kitos galingos NPB atliekamos funkcijos:
Pertekliniai duomenų paketai yra deduplikuoti
Analizės ir saugumo įrankiai palaiko didelio skaičiaus pasikartojančių paketų, persiųstų iš kelių skirstytuvų, priėmimą. NPB gali pašalinti dubliavimą, kad įrankiai neeikvotų apdorojimo galios apdorodami perteklinius duomenis.
SSL iššifravimas
Saugaus lizdo sluoksnio (SSL) šifravimas yra standartinė technika, naudojama saugiai siųsti privačią informaciją. Tačiau įsilaužėliai taip pat gali paslėpti kenkėjiškas kibernetines grėsmes užšifruotuose paketuose.
Šių duomenų analizė turi būti iššifruota, tačiau kodo išskaidymas reikalauja brangių apdorojimo galių. Pirmaujantys tinklo paketų tarpininkai gali perkelti iššifravimą iš saugumo įrankių, kad užtikrintų bendrą matomumą ir sumažintų brangių išteklių apkrovą.
Duomenų maskavimas
SSL iššifravimas duomenis daro matomus visiems, turintiems prieigą prie saugumo ir stebėjimo įrankių. NPB gali užblokuoti kredito kortelių ar socialinio draudimo numerius, saugomą sveikatos informaciją (PHI) arba kitą neskelbtiną asmenį identifikuojančią informaciją (PII) prieš perduodamas informaciją, kad ji nebūtų atskleista įrankiui ir jo administratoriams.
Antraštės nuėmimas
NPB gali pašalinti antraštes, tokias kaip VLAN, VXLAN, L3VPN, todėl įrankiai, kurie negali apdoroti šių protokolų, vis tiek gali priimti ir apdoroti paketinius duomenis. Kontekstinis matomumas padeda aptikti tinkle veikiančias kenkėjiškas programas ir užpuolikų paliktus pėdsakus jiems dirbant sistemoje ir tinkle.
Programų ir grėsmių žvalgyba
Ankstyvas pažeidžiamumų aptikimas sumažina neskelbtinos informacijos praradimą ir galiausiai pažeidžiamumų kaštus. NPB teikiamas kontekstą atitinkantis matomumas gali būti naudojamas įsilaužimo rodikliams (IOC) atskleisti, atakų vektorių geolokacijai nustatyti ir kriptografinėms grėsmėms kovoti.
Taikomųjų programų intelektas apima daugiau nei 2–4 paketinių duomenų sluoksnius (OSI modelis) iki 7 sluoksnio (taikomųjų programų sluoksnis). Galima sukurti ir eksportuoti išsamius duomenis apie naudotojų ir programų elgseną bei vietą, kad būtų išvengta taikomųjų programų sluoksnio atakų, kai kenkėjiškas kodas maskuojamas kaip įprasti duomenys ir galiojančios klientų užklausos.
Kontekstinis matomumas padeda aptikti jūsų tinkle veikiančias kenkėjiškas programas ir užpuolikų paliktus pėdsakus, jiems veikiant jūsų sistemoje ir tinkle.
Programų stebėjimas
Programų suvokimo matomumas taip pat daro didelę įtaką našumui ir valdymui. Galbūt norite sužinoti, kada darbuotojai naudojosi debesijos paslaugomis, tokiomis kaip „Dropbox“ ar žiniatinklio el. paštu, kad apeitų saugumo politiką ir perkeltų įmonės failus, arba kada buvę darbuotojai bandė pasiekti failus naudodami debesijos asmenines saugyklas.
NPB privalumai
• Lengva naudoti ir valdyti
• Intelektas, skirtas komandos naštai pašalinti
• Nėra paketų praradimo – veikia išplėstinės funkcijos
• 100 % patikimumas
• Didelio našumo architektūra
Įrašo laikas: 2025 m. sausio 20 d.
