Die Zusammensetzung fast aller Informationssicherheitssysteme umfasst traditionelle Systeme (einzeln oder in Kombination):
- Firewall
- Intrusion Prevention System (IPS)
- Zugriffssteuerungslisten (ACLs)
- Netzwerkzugriffskontrollsystem (NAC)
- Antivirensysteme (Antivirus / Antimalware)
- IS Event Management Systeme (SIEM)
Alle diese Systeme eignen sich sowohl einzeln zur Lösung ihrer Probleme als auch in Kombination. Es gibt jedoch verschiedene Klassen von Informationssicherheitsaufgaben, die diese Systeme leider nicht lösen können. Darüber hinaus ist der traditionelle Netzwerkumfang, in dem herkömmliche Schutzmittel normalerweise in modernen Netzwerkinfrastrukturen verwendet wurden, verschwommen, da in dieser Zeit Cloud-Technologien aufgetaucht sind und Benutzer viel mobiler geworden sind.
Welche Aufgaben können herkömmliche Systeme lösen, und welche werden äußerst problematisch oder gar unmöglich zu bewältigen sein?
Stellen Sie sich einfach Fragen wie diese:
- Wenn jemand mithilfe von beispielsweise Ping (d. H. Ping-Sweep) Informationen über Hosts im selben Netzwerksegment sammelt, können Sie dies sehen? Wie werden Sie diese Aktivität bestimmen?
- Wenn ein Benutzer Ihres Netzwerks einen DDoS-Angriff (absichtlich oder unter der Kontrolle eines anderen) auf etwas startet, das sich ebenfalls in Ihrem Netzwerk befindet, so dass es wie legitimer Datenverkehr aussieht, können Sie einen Alarm schnell identifizieren und auslösen?
- Wenn ein Benutzer Ihres Netzwerks, der über die Berechtigung zum Herunterladen von Dateien vom Server eines Unternehmens mit vertraulichen Informationen verfügt und normalerweise etwa 10 MB pro Tag herunterlädt, eines schönen Tages plötzlich solche Dateien vom Server auf 100 GB herunterlädt. Wissen Sie darüber Bescheid, werden Sie automatisch benachrichtigt? Wie erkennen und untersuchen Sie nun solche Tatsachen von Informationslecks?
- Wenn ein Benutzer Ihres Netzwerks seinen Laptop mit einem Netzwerkwurm außerhalb des Unternehmens infiziert hat, hat er ihn zur Arbeit gebracht und eine Verbindung zum Unternehmensnetzwerk hergestellt. Woher wissen Sie, welche Hosts in Ihrem Netzwerk infiziert sind, wenn beispielsweise kein herkömmliches Schutzmittel beispielsweise Signaturen für diesen Netzwerkwurm enthält?
- Wenn jemand vertrauliche Informationen aus dem Netzwerk Ihres Unternehmens stiehlt, während die Übertragung ausgeblendet wird, indem er sie in ein bekanntes Protokoll tunnelt, das in Ihrem Netzwerk zulässig ist (z. B. DNS, UDP / 53). Woher weißt du das?
- Wie untersuchen Sie Bedrohungen, die bereits mit Viren und Malware in Ihrer Infrastruktur aufgetreten sind?
- Wie untersuchen Sie Probleme im Zusammenhang mit der Netzwerkleistung von Workstations, sofern Sie beispielsweise nur den Benutzernamen im Netzwerk kennen?
- Wie identifizieren oder untersuchen Sie jetzt Insider-Bedrohungen?
Sobald Sie solche Fragen haben, wird klar, dass herkömmliche Mittel zur Bereitstellung von Informationssicherheit im Unternehmensnetzwerk diese nicht qualitativ beantworten können. In der Tat benötigen Sie ein Werkzeug, das traditionelle Mittel ergänzt.
Und es gibt ein solches Tool: Das bekannte Cisco-Unternehmen verfügt über ein ausgezeichnetes Produkt namens Cisco StealthWatch (der Name stammt von dem ursprünglichen Lancope-Unternehmen ab, das im Jahr 2000 gegründet wurde und zuvor auch auf dem Weltmarkt für Lösungen zur Bereitstellung von Network Visibility & Security Intelligence führend war Cisco-Akquisitionen im Jahr 2015):
Und was ist Cisco StealthWatch? Tatsächlich ist es ein Mittel zur Bereitstellung von Informationssicherheit im Netzwerk, das auf der Erfassung von Telemetriedaten von verschiedenen Geräten basiert, dh nicht nur von der ITU, die am Rand steht, sondern auch von Infrastrukturgeräten wie Routern, Switches und Servern mit virtuellen Maschinen und sogar von Benutzergeräten (es spielt keine Rolle, ob sie innerhalb des Unternehmensnetzwerks oder außerhalb des Unternehmensnetzwerks verbunden sind).
Da die Cisco StealthWatch-Lösung das bekannte und beliebte NetFlow / IPFIX als Hauptprotokoll für die Telemetriedatenerfassung ist, ist kein separates dediziertes physisches Netzwerk zur Überwachung erforderlich, d. H. Vorhandene Netzwerkgeräte können verwendet werden. Wenn in einem Teil des Unternehmensnetzwerks keine Geräte mit NetFlow-Unterstützung vorhanden sind, bietet Cisco StealthWatch auch eine Lösung für diesen Fall.
Darüber hinaus sammelt Cisco StealthWatch diese Daten nicht nur (dh es sammelt diese Daten), sondern kann sie deduplizieren, Telemetriedaten mit Daten aus anderen Quellen anreichern usw. All dies bildet den vollständigsten Informationssicherheitskontext aus Verkehrsquellen in einem Unternehmensnetzwerk, verfügbar in Echtzeit. Umfangreiche Informationen zum Sicherheitskontext für Cisco StealthWatch werden von einer anderen Lösung bereitgestellt (Cisco ISE sowie Cisco Cloud-Dienste mit IP / URL-Reputationsdatenbanken).
Mithilfe von Cisco StealthWatch wird das gesamte Unternehmensdatennetz in einen einzigen Sensor umgewandelt, der Angriffe, abnormales Verhalten usw. erkennt. Diese Lösung geht über das Unternehmensnetzwerk hinaus und ermöglicht sogar die Überwachung von Cloud-Umgebungen und mobilen Benutzern. Die Lösung weiß alles über jeden Host und Benutzer im Netzwerk, zeichnet alle Aktionen im Netzwerk auf (einschließlich der Anzeige des Netzwerkverkehrs auf der Ebene der Anwendungssignaturen) und überwacht Abweichungen vom „normalen“ Verhalten (außerdem kann die Lösung ein Profil mit „korrektem“ Verhalten erstellen (). Baseline) in Form eines Auto-Learning-Mechanismus) bietet die Speicherung dieser Daten und ermöglicht es Ihnen, Stichproben dieser Daten zu erstellen (einschließlich der Analyse verdächtiger Aktivitäten, da Cisco StealthWatch bereits über mehr als 100 verschiedene Algorithmen zur Erkennung von Anomalien und Verhalten verfügt). Schneidet Administratoren über Änderungen ab. Die Lösung kann als Tool zur Durchführung einer permanenten Prüfung der Funktionsfähigkeit herkömmlicher Tools für die Informationssicherheit verwendet werden. Sie ist auch nützlich, um die Verteilung von Schadcode und Angriffsvektoren zu untersuchen (die Fähigkeit, in historische Daten einzutauchen).
Allen Interessierten, die detailliertere Informationen über Cisco StealthWatch erhalten möchten, empfehlen wir, dass Sie sich eine Aufzeichnung der Präsentation zur Cisco StealthWatch-Lösung ansehen, die freundlicherweise von Cisco Consulting Engineer Vasily Tomilin durchgeführt wird. Dafür danken wir ihm ganz besonders:
Da das Produkt recht komplex ist, empfehlen wir Ihnen, es zunächst in Form von Labors in der Cisco dCloud-Cloud zu testen, um Zugriff zu erhalten,
uns zu schreiben. Wir helfen Ihnen dabei, in nur 1,5 bis 2 Stunden mit Cisco dCloud zu beginnen, und Sie können sich im Rahmen der Grundlagen mit dem Produkt vertraut machen Laborarbeit, und für diejenigen, die das Produkt in seiner ganzen Pracht testen möchten, einschließlich des Einsatzes, gibt es auch eine separate Laborarbeit für 2 Tage.