Geekly articles weekly

Cisco StealthWatch ou recursos clássicos de segurança de rede corporativa (FW, IPS, ACL, NAC, AV, SIEM)?

imagem

A composição de praticamente qualquer sistema de segurança da informação inclui sistemas tradicionais (individualmente ou em combinação):

  • Firewall
  • Sistema de prevenção de intrusões (IPS)
  • Listas de controle de acesso (ACLs)
  • Sistema de Controle de Acesso à Rede (NAC)
  • Sistemas antivírus (Antivírus / Antimalware)
  • Sistemas de gerenciamento de eventos de SI (SIEM)

Todos esses sistemas são bons tanto individualmente para resolver seus problemas quanto em conjunto. No entanto, existem várias classes de tarefas de segurança da informação que infelizmente não podem resolver esses sistemas. Além disso, o perímetro de rede tradicional, onde os meios tradicionais de proteção costumavam ser usados ​​na infraestrutura de rede moderna, fica embaçado, pois as tecnologias em nuvem apareceram durante esse período e os usuários se tornaram muito mais móveis.

Quais tarefas os sistemas tradicionais podem resolver e quais serão extremamente problemáticas ou mesmo impossíveis de lidar?

imagem

Apenas faça a si mesmo perguntas como estas:

  1. Se alguém coleta informações sobre hosts localizados no mesmo segmento de rede usando, por exemplo, ping (por exemplo, ping sweep), você consegue ver isso? Como você vai determinar esta atividade?
  2. Se um usuário da sua rede iniciar um ataque DDoS (intencionalmente ou sob o controle de outra pessoa) em algo que também esteja na sua rede, para que pareça tráfego legítimo, você poderá identificar e acionar um alarme rapidamente?
  3. Se um usuário da sua rede que tem permissão para baixar arquivos do servidor de uma empresa com informações confidenciais, que geralmente baixam cerca de 10 MB por dia, repentinamente um dia repentinamente baixam esses arquivos do servidor por 100 GB. Você sabe disso, será notificado automaticamente? Como você agora detecta e investiga esses fatos de vazamento de informações?
  4. Se um usuário da sua rede infectou seu laptop com um worm de rede fora da empresa, ele o levou para o trabalho e se conectou à rede corporativa. Como você sabe quais hosts da sua rede estão infectados se, por exemplo, nenhum dos meios tradicionais de proteção possui, por exemplo, assinaturas desse worm de rede?
  5. Se alguém roubar informações confidenciais da rede da sua empresa, enquanto oculta a transmissão, encapsulando-as em algum protocolo conhecido permitido na sua rede (por exemplo, DNS, UDP / 53). Como você sabe disso?
  6. Como você investiga ameaças que já ocorreram com vírus e malware em sua infraestrutura?
  7. Como você investiga problemas relacionados ao desempenho da rede nas estações de trabalho, desde que você saiba, por exemplo, apenas o nome de usuário na rede?
  8. Como você agora identifica ou investiga ameaças internas?

Assim que você tiver essas perguntas, fica claro que os meios tradicionais de fornecer segurança da informação na rede corporativa não podem respondê-las qualitativamente. De fato, você precisa de uma ferramenta que complementa os remédios tradicionais.

E existe essa ferramenta - a conhecida empresa Cisco possui um excelente produto chamado Cisco StealthWatch (o nome é herdado da empresa original Lancope, fundada em 2000, e também era líder no mercado global de soluções para fornecer Network Visibility & Security Intelligence antes de Aquisições da Cisco em 2015):

imagem

E o que é o Cisco StealthWatch - na verdade, é um meio de fornecer segurança da informação na rede, que se baseia na coleta de dados de telemetria de vários dispositivos, ou seja, não apenas da ITU que está no perímetro, mas também de dispositivos de infraestrutura, como roteadores, comutadores, servidores com máquinas virtuais e até dispositivos de usuário (não importa se eles estão conectados de dentro da rede corporativa ou se estão localizados fora dela).

Como a solução Cisco StealthWatch é o conhecido e popular NetFlow / IPFIX como o principal protocolo de coleta de dados de telemetria, isso elimina a necessidade de uma rede física dedicada separada para monitoramento, ou seja, o equipamento de rede existente pode ser usado. E se em alguma parte da rede corporativa não houver dispositivos com suporte ao NetFlow, o Cisco StealthWatch também terá uma solução para esse caso.

Além disso, o Cisco StealthWatch não apenas coleta esses dados (ou seja, é um coletor desses dados), pode desduplicá-los, enriquecer os dados de telemetria com dados de outras fontes etc., tudo isso forma o contexto de segurança da informação mais completo sobre fluxos de tráfego de fontes de informações diferentes. em uma rede corporativa, disponível em tempo real. As informações abrangentes do contexto de segurança do Cisco StealthWatch são fornecidas por outra solução - o Cisco ISE, bem como pelos serviços em nuvem da Cisco que contêm bancos de dados de reputação de IP / URL).

Com a ajuda do Cisco StealthWatch, toda a rede corporativa de dados é transformada em um único sensor que detecta ataques, comportamento anormal, etc. ... Essa solução vai além da rede corporativa, permitindo até monitorar ambientes em nuvem e usuários móveis. A solução sabe tudo sobre cada host e usuário na rede, registra todas as suas ações na rede (incluindo vê o tráfego da rede no nível de assinaturas de aplicativos), rastreia desvios do comportamento "normal" (além disso, a solução tem a capacidade de criar um perfil de comportamento "correto" ( linha de base) na forma de um mecanismo de aprendizado automático), fornece armazenamento desses dados, permite que você colete amostras desses dados (incluindo análise de atividades suspeitas, pois o Cisco StealthWatch já possui mais de 100 algoritmos diferentes para detectar anomalias e comportamento), Corta os administradores sobre quaisquer alterações. A solução pode ser usada como uma ferramenta para conduzir uma auditoria contínua da operacionalidade das ferramentas tradicionais de segurança da informação, e também é útil usá-la para investigar a distribuição de códigos maliciosos e vetores de ataque (a própria oportunidade de "mergulhar" em dados históricos).

Para todos os interessados ​​e que desejam receber informações mais detalhadas sobre o Cisco StealthWatch, recomendamos assistir a uma gravação da apresentação na solução Cisco StealthWatch, gentilmente conduzida pelo engenheiro de consultoria da Cisco Vasily Tomilin, pela qual expressamos um agradecimento especial a ele:


Como o produto é bastante complexo, sugerimos que você o experimente primeiro na forma de laboratórios na nuvem do Cisco dCloud, para obter acesso, escrever para nós e ajudaremos você a começar com o Cisco dCloud, em apenas 1,5 a 2 horas, e você pode se familiarizar com o produto como parte do básico trabalho de laboratório e para aqueles que desejam experimentar o produto em toda a sua glória, incluindo a implantação, também há um trabalho de laboratório separado por 2 dias.

Source: https://habr.com/ru/post/pt414195/

More articles:


All Articles