Geekly articles weekly

Cisco StealthWatch atau fitur keamanan jaringan perusahaan klasik (FW, IPS, ACL, NAC, AV, SIEM)?

gambar

Komposisi dari hampir semua sistem keamanan informasi mencakup sistem tradisional (secara individu atau dalam kombinasi):

  • Firewall
  • Intrusion Prevention System (IPS)
  • Daftar Kontrol Akses (ACL)
  • Sistem Kontrol Akses Jaringan (NAC)
  • Sistem antivirus (Antivirus / Antimalware)
  • IS Sistem Manajemen Kejadian (SIEM)

Semua sistem ini baik secara individual untuk menyelesaikan masalah mereka, maupun dalam kombinasi. Namun, ada berbagai kelas tugas keamanan informasi yang sayangnya tidak dapat menyelesaikan sistem ini. Selain itu, perimeter jaringan tradisional, di mana cara perlindungan tradisional biasanya digunakan dalam infrastruktur jaringan modern, kabur, karena teknologi cloud telah muncul selama ini, dan pengguna telah menjadi jauh lebih mobile.

Tugas apa yang dapat dipecahkan oleh sistem tradisional, dan tugas mana yang akan sangat bermasalah atau bahkan mustahil untuk diatasi?

gambar

Ajukan saja pertanyaan pada diri sendiri, seperti ini:

  1. Jika seseorang mengumpulkan informasi tentang host yang berada di segmen jaringan yang sama menggunakan misalnya ping (mis. Sweep ping), dapatkah Anda melihatnya? Bagaimana Anda menentukan kegiatan ini?
  2. Jika pengguna jaringan Anda memulai serangan DDoS (secara sengaja atau di bawah kendali orang lain) pada sesuatu yang juga ada di jaringan Anda, sehingga sepertinya lalu lintas yang sah, dapatkah Anda dengan cepat mengidentifikasi dan meningkatkan alarm?
  3. Jika pengguna jaringan Anda yang memiliki izin untuk mengunduh file dari server perusahaan dengan informasi rahasia, yang biasanya mengunduh sekitar 10 MB sehari, tiba-tiba suatu hari tiba-tiba mengunduh file tersebut dari server sebesar 100 GB. Apakah Anda tahu tentang ini, apakah Anda akan diberitahu secara otomatis? Bagaimana Anda sekarang mendeteksi dan menyelidiki fakta kebocoran informasi tersebut?
  4. Jika pengguna jaringan Anda menginfeksi laptopnya dengan cacing jaringan di luar perusahaan, maka ia membawanya ke kantor dan terhubung ke jaringan perusahaan. Bagaimana Anda tahu host mana di jaringan Anda yang terinfeksi jika, misalnya, tidak ada cara perlindungan tradisional, misalnya, tanda tangan untuk cacing jaringan ini?
  5. Jika seseorang mencuri informasi rahasia dari jaringan perusahaan Anda, saat menyembunyikan transmisi, dengan memasukkannya ke beberapa protokol terkenal yang diizinkan di jaringan Anda (misalnya, DNS, UDP / 53). Bagaimana kamu tahu tentang ini?
  6. Bagaimana Anda menyelidiki ancaman yang telah terjadi dengan virus dan malware di infrastruktur Anda?
  7. Bagaimana Anda menyelidiki masalah yang terkait dengan kinerja jaringan workstation, asalkan Anda tahu, misalnya, hanya nama pengguna di jaringan?
  8. Bagaimana Anda sekarang mengidentifikasi atau menyelidiki ancaman orang dalam?

Segera setelah Anda memiliki pertanyaan seperti itu, menjadi jelas bahwa cara tradisional untuk memberikan keamanan informasi dalam jaringan perusahaan tidak dapat menjawabnya secara kualitatif. Bahkan, Anda membutuhkan alat yang melengkapi solusi tradisional.

Dan ada alat seperti itu - perusahaan Cisco yang terkenal memiliki produk unggulan bernama Cisco StealthWatch (nama tersebut diwarisi dari perusahaan Lancope asli, yang didirikan kembali pada tahun 2000, dan juga pemimpin di pasar global untuk solusi untuk menyediakan Visibilitas Jaringan & Keamanan Intelijen sebelum itu Akuisisi Cisco pada 2015):

gambar

Dan apa itu Cisco StealthWatch - pada kenyataannya, ini adalah sarana untuk menyediakan keamanan informasi dalam jaringan, yang didasarkan pada pengumpulan data telemetri dari berbagai perangkat, yaitu, tidak hanya dari ITU yang berdiri di perimeter, tetapi juga dari perangkat infrastruktur seperti router, switch, server dengan mesin virtual dan bahkan dari perangkat pengguna (tidak masalah jika mereka terhubung dari dalam jaringan perusahaan atau berada di luarnya).

Karena solusi Cisco StealthWatch adalah NetFlow / IPFIX yang terkenal dan populer sebagai protokol pengumpulan data telemetri, ini menghilangkan kebutuhan akan jaringan fisik khusus yang terpisah untuk pemantauan, yaitu, peralatan jaringan yang ada dapat digunakan. Dan jika pada beberapa bagian jaringan perusahaan tidak ada perangkat dengan dukungan NetFlow, maka Cisco StealthWatch juga memiliki solusi untuk kasus ini.

Selain itu, Cisco StealthWatch tidak hanya mengumpulkan data ini (yaitu, ia adalah pengumpul data ini), ia dapat mendeduplikasinya, memperkaya data telemetri dengan data dari sumber lain, dll., Semua ini membentuk konteks keamanan informasi paling lengkap tentang arus lalu lintas dari sumber informasi yang berbeda. pada jaringan perusahaan, tersedia dalam mode waktu nyata. Informasi konteks keamanan yang luas untuk Cisco StealthWatch disediakan oleh solusi lain - Cisco ISE, serta layanan cloud Cisco yang berisi IP / URL reputasi database).

Dengan bantuan Cisco StealthWatch, seluruh jaringan data perusahaan ditransformasikan menjadi sebuah sensor tunggal yang mendeteksi serangan, perilaku abnormal, dll. ... Solusi ini melampaui jaringan perusahaan, bahkan memungkinkan untuk memantau lingkungan cloud dan pengguna ponsel. Solusinya tahu segalanya tentang setiap host dan pengguna di jaringan, mencatat semua tindakannya di jaringan (termasuk melihat lalu lintas jaringan di tingkat tanda tangan aplikasi), memantau penyimpangan dari perilaku "normal" (apalagi, solusi memiliki kemampuan untuk membuat profil perilaku "benar" ( baseline) dalam bentuk mekanisme pembelajaran otomatis), menyediakan penyimpanan data ini, memungkinkan Anda untuk membuat sampel dari data ini (termasuk analisis aktivitas yang mencurigakan, karena Cisco StealthWatch telah memiliki lebih dari 100 algoritma berbeda untuk mendeteksi anomali dan perilaku), Memotong administrator tentang perubahan apa pun. Solusinya dapat digunakan sebagai alat untuk melakukan audit terus menerus terhadap pengoperasian alat keamanan informasi tradisional, dan juga berguna untuk menggunakannya untuk menyelidiki distribusi kode berbahaya dan vektor serangan (peluang untuk "menyelam" ke dalam data historis).

Kami merekomendasikan siapa pun yang tertarik dan tertarik untuk menerima informasi lebih lanjut tentang Cisco StealthWatch, lihat rekaman presentasi tentang solusi Cisco StealthWatch, yang dilakukan dengan baik oleh Insinyur Konsultasi Cisco Vasily Tomilin, yang kami sampaikan terima kasih khusus kepadanya:


Karena produk ini cukup kompleks, kami sarankan Anda mencobanya terlebih dahulu sebagai laboratorium di cloud Cisco dCloud, untuk mendapatkan akses, menulis kepada kami dan kami akan membantu Anda memulai dengan Cisco dCloud, hanya sekitar 1,5-2 jam dan Anda dapat membiasakan diri dengan produk tersebut sebagai bagian dari dasar pekerjaan laboratorium, dan bagi mereka yang ingin mencoba produk dengan segala kemuliaan, termasuk penyebaran juga, ada juga pekerjaan laboratorium terpisah selama 2 hari.

Source: https://habr.com/ru/post/id414195/

More articles:


All Articles