Geekly articles weekly

思科StealthWatch或经典企业网络安全功能(防火墙,IPS,ACL,NAC,AV,SIEM)?

图片

几乎任何信息安全系统的组成都包括传统系统(单独或组合):

  • 防火墙功能
  • 入侵防御系统(IPS)
  • 访问控制列表(ACL)
  • 网络访问控制系统(NAC)
  • 防病毒系统(防病毒/防恶意软件)
  • IS事件管理系统(SIEM)

所有这些系统既可以单独解决它们的问题,也可以结合起来使用。 但是,有各种各样的信息安全任务无法解决这些系统。 此外,由于在此期间出现了云技术,因此传统的网络边界(通常在现代网络基础结构中通常使用传统的保护手段)变得模糊不清。

传统系统可以解决哪些任务,哪些问题将极有问题甚至无法解决?

图片

只是问自己一些问题,例如:

  1. 如果有人使用ping(即ping扫描)收集有关位于同一网段中的主机的信息,您能看到吗? 您将如何确定此活动?
  2. 如果您的网络用户在您的网络上也发生了DDoS攻击(有意或在其他人的控制下),那么它看起来像是合法流量,是否可以快速识别并发出警报?
  3. 如果您网络中的用户有权从公司的服务器上下载包含机密信息的文件(通常每天大约下载10 MB),则突然有一天突然从服务器上以100 GB的速度下载了此类文件。 您知道吗,会自动收到通知吗? 您现在如何检测和调查此类信息泄漏事实?
  4. 如果您网络的用户用公司外部的网络蠕虫感染了他的笔记本电脑,则他会带他去工作并连接到公司网络。 例如,如果传统的保护手段都没有例如针对该网络蠕虫的签名,您如何知道网络上的哪些主机被感染了?
  5. 如果有人在隐藏传输的同时从您公司的网络中窃取了机密信息,则可以通过将其传输到网络上允许的某些知名协议(例如DNS,UDP / 53)中来。 您怎么知道的?
  6. 您如何调查基础架构中的病毒和恶意软件已经发生的威胁?
  7. 如果您仅知道网络上的用户名,您如何调查与工作站的网络性能有关的问题?
  8. 您现在如何识别或调查内部威胁?

一旦您有这样的问题,就很清楚,在公司网络中提供信息安全性的传统方法无法从质上回答这些问题。 实际上,您需要一种补充传统疗法的工具。

有了这样的工具-著名的Cisco公司拥有一个出色的产品,称为Cisco StealthWatch(该名称继承自最初的Lancope公司,该公司成立于2000年,并且在提供网络可见性和安全智能的解决方案方面也是全球市场的领导者) 2015年思科的收购):

图片

什么是Cisco StealthWatch-实际上,它是一种在网络中提供信息安全性的手段,它基于从各种设备收集遥测数据的基础,遥测数据不仅来自站在外围的ITU,而且还来自路由器,交换机,服务器等基础设施设备虚拟机甚至用户设备(无论是从公司网络内部连接还是位于公司网络外部)都无关紧要。

由于Cisco StealthWatch解决方案是众所周知的流行NetFlow / IPFIX作为主要遥测数据收集协议,因此无需单独的专用物理网络进行监控,即可以使用现有网络设备。 而且,如果在公司网络的某些部分中没有支持NetFlow的设备,则Cisco StealthWatch也可以针对这种情况提供解决方案。

此外,Cisco StealthWatch不仅可以收集此数据(即它是该数据的收集器),还可以对它进行重复数据删除,并用来自其他来源的数据来丰富遥测数据等。所有这些形成了关于来自不同信息源的流量的最完整的信息安全性上下文。在公司网络上,可实时使用。 另一个解决方案-Cisco ISE以及包含IP / URL信誉数据库的Cisco云服务提供了Cisco StealthWatch的广泛安全上下文信息。

在Cisco StealthWatch的帮助下,整个公司数据网络被转换为一个可检测攻击,异常行为等的单个传感器。...该解决方案不仅仅适用于公司网络,甚至可以监视云环境和移动用户。 该解决方案了解网络上每个主机和用户的所有信息,记录其在网络上的所有操作(包括在应用程序签名级别查看网络流量),跟踪与“正常”行为的偏差(此外,该解决方案还具有创建“正确”行为的配置文件的能力(基准)(以自动学习机制的形式),提供此数据的存储,允许您从此数据中提取样本(包括对可疑活动的分析,因为Cisco StealthWatch已经拥有100多种不同的算法来检测异常和行为), 减少任何更改的管理员。 该解决方案可以用作对传统信息安全工具的可操作性进行持续审核的工具,并且使用它来调查恶意代码和攻击媒介的分布(“潜入”历史数据的机会)也很有用。

对于所有有兴趣并希望获得有关Cisco StealthWatch解决方案的详细信息的人,我们建议您观看Cisco StealthWatch解决方案的演示记录,该解决方案由Cisco咨询工程师Vasily Tomilin进行,我们对此表示特别感谢:


由于该产品非常复杂,因此建议您首先在Cisco dCloud云中作为实验室来尝试使用它,以获取访问权限并写信给我们 ,我们将帮助您在短短1.5到2个小时的时间内开始使用Cisco dCloud,并且您可以熟悉该产品,这是基本操作的一部分。实验室工作,对于那些想要在产品的所有荣耀(包括部署方面)进行尝试的人,还需要进行为期2天的单独实验室工作。

Source: https://habr.com/ru/post/zh-CN414195/

More articles:


All Articles