Geekly articles weekly

Cisco StealthWatch o las características de seguridad de red empresarial clásica (FW, IPS, ACL, NAC, AV, SIEM)?

imagen

La composición de casi cualquier sistema de seguridad de la información incluye sistemas tradicionales (individualmente o en combinación):

  • Cortafuegos
  • Sistema de prevención de intrusiones (IPS)
  • Listas de control de acceso (ACL)
  • Sistema de control de acceso a la red (NAC)
  • Sistemas antivirus (antivirus / antimalware)
  • Sistemas de gestión de eventos IS (SIEM)

Todos estos sistemas son buenos tanto individualmente para resolver sus problemas como en combinación. Sin embargo, hay varias clases de tareas de seguridad de la información que, por desgracia, no pueden resolver estos sistemas. Además, el perímetro de red tradicional, donde los medios de protección tradicionales se usaban generalmente en la infraestructura de red moderna, es borroso, ya que las tecnologías en la nube han aparecido durante este tiempo, y los usuarios se han vuelto mucho más móviles.

¿Qué tareas pueden resolver los sistemas tradicionales y cuáles serán extremadamente problemáticas o incluso imposibles de resolver?

imagen

Solo hazte preguntas como estas:

  1. Si alguien recopila información sobre hosts ubicados en el mismo segmento de red utilizando, por ejemplo, ping (es decir, barrido de ping), ¿puede ver esto? ¿Cómo vas a determinar esta actividad?
  2. Si un usuario de su red inicia un ataque DDoS (intencionalmente o bajo el control de otra persona) sobre algo que también está en su red, por lo que parece tráfico legítimo, ¿puede identificar rápidamente y activar una alarma?
  3. Si un usuario de su red que tiene permisos para descargar archivos del servidor de una empresa con información confidencial, que generalmente descarga unos 10 MB por día, un buen día de repente descargó dichos archivos del servidor a 100 GB. ¿Sabe esto? ¿Se le notificará automáticamente? ¿Cómo detectan e investigan ahora tales hechos de filtraciones de información?
  4. Si un usuario de su red infectó su computadora portátil con un gusano de red fuera de la compañía, entonces lo llevó al trabajo y se conectó a la red corporativa. ¿Cómo sabe qué hosts en su red están infectados si, por ejemplo, ninguno de los medios tradicionales de protección tiene, por ejemplo, firmas para este gusano de red?
  5. Si alguien roba información confidencial de la red de su empresa, mientras oculta la transmisión, al hacer un túnel en algún protocolo conocido permitido en su red (por ejemplo, DNS, UDP / 53). ¿Cómo sabes sobre esto?
  6. ¿Cómo investiga las amenazas que ya han ocurrido con virus y malware en su infraestructura?
  7. ¿Cómo investiga los problemas relacionados con el rendimiento de la red de las estaciones de trabajo, siempre que sepa, por ejemplo, solo el nombre de usuario en la red?
  8. ¿Cómo identifica o investiga las amenazas internas?

Tan pronto como tenga tales preguntas, queda claro que los medios tradicionales para proporcionar seguridad de la información en la red corporativa no pueden responderlas cualitativamente. De hecho, necesita una herramienta que complemente los remedios tradicionales.

Y existe una herramienta de este tipo: la conocida compañía de Cisco tiene un excelente producto llamado Cisco StealthWatch (el nombre se hereda de la compañía original de Lancope, que se fundó en 2000, y también fue el líder en el mercado global de soluciones para proporcionar Inteligencia de Seguridad y Visibilidad de Red). Adquisiciones de Cisco en 2015):

imagen

Y qué es Cisco StealthWatch: de hecho, es un medio de proporcionar seguridad de la información en la red, que se basa en la recopilación de datos de telemetría de varios dispositivos, es decir, no solo de la UIT que se encuentra en el perímetro, sino también de dispositivos de infraestructura como enrutadores, conmutadores, servidores con máquinas virtuales e incluso desde dispositivos de usuario (no importa si están conectados desde dentro de la red corporativa o si están ubicados fuera de ella).

Dado que la solución Cisco StealthWatch es el conocido y popular NetFlow / IPFIX como el principal protocolo de recopilación de datos de telemetría, esto elimina la necesidad de una red física dedicada separada para el monitoreo, es decir, se puede usar el equipo de red existente. Y si en alguna parte de la red corporativa no hay dispositivos compatibles con NetFlow, Cisco StealthWatch también tiene una solución para este caso.

Además, Cisco StealthWatch no solo recopila estos datos (es decir, es un recopilador de estos datos), puede deduplicarlos, enriquecer los datos de telemetría con datos de otras fuentes, etc., todo esto forma el contexto de seguridad de la información más completo sobre los flujos de tráfico de fuentes de información dispares. en una red corporativa, disponible en tiempo real. Otra información del contexto de seguridad para Cisco StealthWatch es proporcionada por otra solución: Cisco ISE, así como los servicios en la nube de Cisco que contienen bases de datos de reputación de IP / URL).

Con la ayuda de Cisco StealthWatch, toda la red de datos corporativos se transforma en un único sensor que detecta ataques, comportamientos anormales, etc. Esta solución va más allá de la red corporativa, incluso permite monitorear entornos de nube y usuarios móviles. La solución sabe todo acerca de cada host y usuario en la red, registra todas sus acciones en la red (incluso ve el tráfico de la red al nivel de las firmas de la aplicación), rastrea las desviaciones del comportamiento "normal" (además, la solución tiene la capacidad de crear un perfil de comportamiento "correcto" ( línea de base) en forma de un mecanismo de autoaprendizaje), proporciona almacenamiento de estos datos, le permite tomar muestras de estos datos (incluido el análisis de actividad sospechosa, ya que Cisco StealthWatch ya tiene más de 100 algoritmos diferentes para detectar anomalías y comportamientos), Corta a los administradores sobre cualquier cambio. La solución puede usarse como una herramienta para realizar una auditoría continua de la operatividad de las herramientas tradicionales de seguridad de la información, y también es útil para investigar la distribución de códigos maliciosos y vectores de ataque (la oportunidad de "sumergirse" en datos históricos).

A todos los que estén interesados ​​y que quieran recibir información más detallada sobre Cisco StealthWatch, les recomendamos que vean una grabación de la presentación sobre la solución Cisco StealthWatch, dirigida amablemente por el ingeniero consultor de Cisco Vasily Tomilin, por lo cual expresamos un agradecimiento especial a él:


Dado que el producto es bastante complejo, le sugerimos que lo pruebe primero como laboratorio en la nube de Cisco dCloud, para obtener acceso, escríbanos y le ayudaremos a comenzar a usar Cisco dCloud, solo unas 1.5-2 horas y podrá familiarizarse con el producto como parte de lo básico trabajo de laboratorio, y para aquellos que quieran probar el producto en todo su esplendor, incluida la implementación, también hay un trabajo de laboratorio separado durante 2 días.

Source: https://habr.com/ru/post/es414195/

More articles:


All Articles