Pada 2017, divisi jaringan Aruba Hewlett Packard Enterprise mengumumkan Aruba 360 Secure Fabric, solusi keamanan jaringan yang komprehensif. Solusi ini melindungi jaringan perusahaan 360 derajat dari ancaman dari luar dan di dalam jaringan dalam perimeter keamanan yang selalu berubah, dengan munculnya perangkat nirkabel dan layanan cloud.
Solusinya dibangun atas dasar beberapa komponen utama. Pertama-tama, ini adalah infrastruktur yang aman dan tepercaya. Peralatan jaringan Aruba telah dirancang sejak awal dalam hal keamanan maksimum. Pengontrol modern dapat menyediakan pemrosesan lalu lintas jaringan berkecepatan tinggi (hingga 100 Gbit / dt), dengan mempertimbangkan fungsi Deep packet inspection (DPI). Terkait dengan ini adalah munculnya protokol khusus Advanced Monitoring (AMON), yang dirancang untuk mentransfer sejumlah besar informasi yang beragam antara pengontrol WLAN dan sistem kontrol dan berfungsi sebagai sumber informasi tambahan untuk sistem keamanan.
Komponen berikutnya dari pabrik Aruba 360 adalah Sistem Kontrol Akses Infrastruktur Aruba ClearPass, yang termasuk keluarga produk perangkat lunak dengan nama Network Access Control (NAC). Produk ini layak mendapat pertimbangan terperinci dan kami berencana untuk mencurahkan serangkaian artikel terpisah untuknya. Mari kita mulai dengan memeriksa mengapa dalam kondisi modern tidak mungkin hanya mengandalkan perimeter keamanan jaringan dan dari mana kebutuhan sistem SIEM berasal.
Batas keamanan dibangun berdasarkan integrasi mendalam dari solusi mitra yang terletak di antarmuka dengan jaringan tanpa jaminan dan segmen DMZ. Ini adalah perangkat yang menyediakan firewall, analisis tanda tangan dari data yang dikirimkan, bekerja dengan lalu lintas terenkripsi, audit kriptografi, dll.
Sulit bagi penyerang untuk mengatasi sistem keamanan klasik yang disebutkan di atas yang menjaga batas jaringan perusahaan, sehingga seringkali mereka memilih pendekatan yang berbeda untuk serangan. Serangan dapat dibangun atas dasar pengenalan dan distribusi kode berbahaya melalui peralatan karyawan perusahaan. Pengguna yang sah dapat kehilangan atau meninggalkan perangkat perusahaannya tanpa pengawasan, terhubung ke jaringan WiFi publik yang tidak aman. Opsi umum lainnya untuk membuat titik awal serangan adalah mengirimkan tautan palsu kepada pengguna atau mengirimnya lampiran email jahat, yang memungkinkan Anda untuk selanjutnya menyuntikkan kode berbahaya ke komputer pengguna yang sah. Baru-baru ini, semakin sering kita melihat contoh tindakan berbahaya menggunakan perangkat IoT, kelemahan utamanya adalah pengaturan "default" dan perangkat lunak lama dengan kerentanan terkenal (misalnya, hampir tidak ada yang memasang patch pada kamera IP yang menjalankan Windows 95 atau MS DOS).
Terkadang seorang karyawan dari suatu organisasi dapat menjadi penyerang dan mulai mengumpulkan data perusahaan yang berharga untuk tujuan pemerasan atau laba komersial. Tahun lalu, ransomware seperti WannaCry dan Pyetya aktif menyebar. Sebelum munculnya ransomware yang dapat diperbanyak sendiri, malware menyebar dalam tiga cara: dengan mengunduh dari situs, melalui email, atau dari media fisik, seperti perangkat USB berbahaya. Oleh karena itu, untuk menginfeksi perangkat atau sistem dengan program ransomware, keterlibatan manusia diperlukan sampai tingkat tertentu.
Penyerang telah belajar menggunakan teknik rekayasa sosial dan di masa depan keterampilan ini hanya akan meningkat. Menurut analis, jika sebuah organisasi hanya mengandalkan teknologi untuk memperbaiki kerentanan keamanan, ini hanya akan menyelesaikan 26% masalah. Jika organisasi hanya menggunakan kebijakan untuk menyelesaikan masalah keamanan, ini hanya akan menghilangkan 10% dari masalah; dan jika mereka hanya menggunakan pelatihan pengguna - hanya 4%. Oleh karena itu, perlu untuk mengendalikan ketiga aspek keamanan secara agregat. Ditambah lagi dengan kekurangan tenaga IT yang berkualifikasi, yang mampu memproses informasi tentang peristiwa jaringan sesegera mungkin dan membuat keputusan yang benar-benar benar tentang status keamanan.
Dalam hal ini, yang disebut SIEM (informasi keamanan dan manajemen acara) sistem dapat datang untuk menyelamatkan, dirancang untuk mengumpulkan berbagai peristiwa keamanan informasi dan membantu pusat keamanan jaringan (SOC) untuk menganalisis peristiwa, membuat laporan. Tetapi bahkan mereka, ternyata, tidak dapat memberikan gambaran lengkap karena kerumitan pemrosesan informasi oleh manusia dan sejumlah besar positif palsu. Menurut
laporan analitis untuk perusahaan kecil dengan penghasilan kurang dari $ 100 juta, penyelidikan atas insiden tersebut memakan waktu sekitar 10 menit. Di perusahaan dengan jumlah karyawan dari 1.001 hingga 5.000, di 26 perusahaan dari 85 responden, waktu penyelidikan suatu insiden dapat berlangsung dari 20 menit hingga satu jam. Kesimpulan utama dari statistik ini adalah bahwa jika setiap analis menghabiskan begitu banyak waktu kerjanya untuk menyelidiki insiden keamanan, dan mungkin ada 10 atau lebih insiden seperti itu, maka menyelidiki insiden keamanan dapat menghabiskan semua sumber daya manusia yang tersedia.
Menurut laporan yang sama, sistem SIEM dapat menghasilkan hingga 10.000 peristiwa per menit, yang mencakup alarm palsu dan kadang-kadang memerlukan analisis personel langsung. Pemisahan sinyal dari noise bukanlah kata-kata kosong dalam kasus sistem SIEM. Dalam hal ini, sistem dengan kecerdasan buatan dapat membantu departemen keamanan. Untuk dilanjutkan!