Geekly articles weekly

Cisco StealthWatch ou fonctionnalités de sécurité réseau d'entreprise classiques (FW, IPS, ACL, NAC, AV, SIEM)?

image

La composition de presque tous les systèmes de sécurité de l'information comprend des systèmes traditionnels (individuellement ou en combinaison):

  • Pare-feu
  • Système de prévention des intrusions (IPS)
  • Listes de contrôle d'accès (ACL)
  • Système de contrôle d'accès réseau (NAC)
  • Systèmes antivirus (Antivirus / Antimalware)
  • Systèmes de gestion des événements SI (SIEM)

Tous ces systèmes sont bons à la fois individuellement pour résoudre leurs problèmes et en combinaison. Cependant, il existe différentes classes de tâches de sécurité de l'information qui, hélas, ne peuvent pas résoudre ces systèmes. De plus, le périmètre de réseau traditionnel, où les moyens de protection traditionnels étaient généralement utilisés dans l'infrastructure de réseau moderne, est flou, car les technologies cloud sont apparues pendant cette période et les utilisateurs sont devenus beaucoup plus mobiles.

Quelles tâches les systèmes traditionnels peuvent-ils résoudre et lesquelles seront extrêmement problématiques, voire impossibles à réaliser?

image

Posez-vous simplement des questions telles que celles-ci:

  1. Si quelqu'un recueille des informations sur les hôtes situés dans le même segment de réseau en utilisant par exemple le ping (c'est-à-dire le balayage de ping), pouvez-vous le voir? Comment allez-vous déterminer cette activité?
  2. Si un utilisateur de votre réseau lance une attaque DDoS (intentionnellement ou sous le contrôle de quelqu'un d'autre) sur quelque chose qui se trouve également sur votre réseau, de sorte qu'il ressemble à du trafic légitime, pouvez-vous rapidement identifier et déclencher une alarme?
  3. Si un utilisateur de votre réseau qui est autorisé à télécharger des fichiers à partir du serveur d'une entreprise avec des informations confidentielles, qui téléchargeait généralement environ 10 Mo par jour, soudainement, un jour, a soudainement téléchargé ces fichiers à partir du serveur pour 100 Go. Le savez-vous, en serez-vous automatiquement informé? Comment pouvez-vous maintenant détecter et enquêter sur ces faits de fuites d'informations?
  4. Si un utilisateur de votre réseau a infecté son ordinateur portable avec un ver de réseau à l'extérieur de l'entreprise, il l'a amené au travail et connecté au réseau de l'entreprise. Comment savez-vous quels hôtes de votre réseau sont infectés si, par exemple, aucun des moyens de protection traditionnels ne possède, par exemple, de signatures pour ce ver de réseau?
  5. Si quelqu'un vole des informations confidentielles du réseau de votre entreprise, tout en cachant la transmission, en les tunnelant dans un protocole bien connu autorisé sur votre réseau (par exemple, DNS, UDP / 53). Comment savez-vous cela?
  6. Comment enquêter sur les menaces qui se sont déjà produites avec des virus et des logiciels malveillants dans votre infrastructure?
  7. Comment examinez-vous les problèmes liés aux performances réseau des postes de travail, à condition que vous ne connaissiez, par exemple, que le nom d'utilisateur sur le réseau?
  8. Comment identifiez-vous ou enquêtez-vous sur les menaces internes?

Dès que vous vous posez de telles questions, il devient clair que les moyens traditionnels d'assurer la sécurité des informations dans le réseau d'entreprise ne peuvent y répondre qualitativement. En fait, vous avez besoin d'un outil qui complète les remèdes traditionnels.

Et il existe un tel outil - la célèbre société Cisco a un excellent produit appelé Cisco StealthWatch (le nom est hérité de la société Lancope originale, qui a été fondée en 2000, et était également le leader sur le marché mondial des solutions pour fournir la visibilité du réseau et des renseignements de sécurité avant elle. Acquisitions de Cisco en 2015):

image

Et qu'est-ce que Cisco StealthWatch - en fait, c'est un moyen d'assurer la sécurité des informations dans un réseau, qui est basé sur la collecte de données de télémétrie à partir de divers appareils, c'est-à-dire non seulement de l'UIT debout sur le périmètre, mais aussi à partir de dispositifs d'infrastructure tels que des routeurs, des commutateurs, des serveurs avec des machines virtuelles et même à partir des appareils des utilisateurs (peu importe qu’ils soient connectés depuis l’intérieur du réseau de l’entreprise ou situés à l’extérieur).

Étant donné que la solution Cisco StealthWatch est le NetFlow / IPFIX bien connu et populaire en tant que protocole de collecte de données de télémétrie principal, cela élimine le besoin d'un réseau physique dédié distinct pour la surveillance, c'est-à-dire que l'équipement réseau existant peut être utilisé. Et si sur une partie du réseau d'entreprise il n'y a pas de périphériques prenant en charge NetFlow, Cisco StealthWatch a également une solution pour ce cas.

De plus, Cisco StealthWatch ne collecte pas seulement ces données (c'est-à-dire qu'il est un collecteur de ces données), il peut les dédupliquer, enrichir les données de télémétrie avec des données provenant d'autres sources, etc., tout cela constitue le contexte de sécurité des informations le plus complet à partir des sources de trafic sur un réseau d'entreprise, disponible en mode temps réel. Des informations de contexte de sécurité complètes pour Cisco StealthWatch sont fournies par une autre solution - Cisco ISE, ainsi que des services cloud Cisco contenant des bases de données de réputation IP / URL).

Avec l'aide de Cisco StealthWatch, l'ensemble du réseau de données d'entreprise est transformé en un seul capteur qui détecte les attaques, les comportements anormaux, etc. ... Cette solution va au-delà du réseau d'entreprise, permettant même de surveiller les environnements cloud et les utilisateurs mobiles. La solution sait tout sur chaque hôte et utilisateur du réseau, enregistre toutes ses actions sur le réseau (y compris voit le trafic réseau au niveau des signatures d'application), suit les écarts par rapport au comportement "normal" (de plus, la solution a la possibilité de créer un profil de comportement "correct" ( baseline) sous la forme d'un mécanisme d'auto-apprentissage), fournit le stockage de ces données, vous permet de faire des échantillons à partir de ces données (y compris l'analyse des activités suspectes, car Cisco StealthWatch dispose déjà de plus de 100 algorithmes différents pour détecter les anomalies et le comportement), Supprime les administrateurs de tout changement. La solution peut être utilisée comme un outil pour effectuer un audit continu de l'opérabilité des outils traditionnels de sécurité de l'information, et il est également utile de l'utiliser pour enquêter sur la distribution de code malveillant et de vecteurs d'attaque (l'occasion même de «plonger» dans des données historiques).

À tous ceux qui sont intéressés et qui souhaitent recevoir des informations plus détaillées sur Cisco StealthWatch, nous vous recommandons de regarder un enregistrement de la présentation sur la solution Cisco StealthWatch, aimablement réalisé par l'ingénieur-conseil Cisco Vasily Tomilin, pour lequel nous exprimons un remerciement spécial à lui:


Étant donné que le produit est assez complexe, nous vous suggérons de l'essayer d'abord sous la forme de laboratoires dans le cloud Cisco dCloud, pour y accéder, écrivez-nous et nous vous aiderons à démarrer avec Cisco dCloud, seulement 1,5-2 heures, et vous pourrez vous familiariser avec le produit dans le cadre de la base travaux de laboratoire, et pour ceux qui veulent essayer le produit dans toute sa splendeur, y compris le déploiement, il y a aussi un travail de laboratoire séparé pendant 2 jours.

Source: https://habr.com/ru/post/fr414195/

More articles:


All Articles