Гарантирането на сигурността на мрежите в бързо променяща се ИТ среда и непрекъснатото развитие на потребителите изисква набор от усъвършенствани инструменти за извършване на анализ в реално време. Вашата инфраструктура за наблюдение може да има мониторинг на производителността на мрежата и приложенията (NPM/APM), регистратори на данни и традиционни мрежови анализатори, докато вашите защитни системи използват защитни стени, системи за защита от проникване (IPS), предотвратяване на изтичане на данни (DLP), анти-зловреден софтуер и други решения.
Без значение колко специализирани са инструментите за сигурност и наблюдение, всички те имат две общи неща:
• Трябва да знаете точно какво се случва в мрежата
• Резултатите от анализа се базират само на получените данни
Проучване, проведено от Асоциацията за управление на предприятия (EMA) през 2016 г., установи, че почти 30% от респондентите не се доверяват на техните инструменти за получаване на всички необходими данни. Това означава, че в мрежата има слепи петна за наблюдение, което в крайна сметка води до безполезни усилия, прекомерни разходи и по-висок риск от хакване.
Видимостта изисква избягване на разточителни инвестиции и слепи зони за наблюдение на мрежата, което изисква събиране на подходящи данни за всичко, което се случва в мрежата. Сплитерите/сплитерите и огледалните портове на мрежовите устройства, известни също като SPAN портове, се превръщат в точки за достъп, използвани за улавяне на трафик за анализ.
Това е сравнително "проста операция"; истинското предизвикателство е ефективно да се доставят данните от мрежата до всеки инструмент, който се нуждае от тях. Ако имате само няколко мрежови сегмента и сравнително малко инструменти за анализ, двете могат да бъдат директно свързани. Въпреки това, като се има предвид скоростта, с която мрежите продължават да се мащабират, дори ако това е логически възможно, има голям шанс тази връзка един към един да създаде неразрешим кошмар за управление.
EMA съобщи, че 35% от корпоративните институции са посочили недостига на SPAN портове и сплитери като основна причина, поради която не са в състояние да наблюдават напълно своите мрежови сегменти. Портовете на инструменти за анализ от висок клас, като защитни стени, също може да са по-оскъдни, така че е изключително важно да не претоварвате оборудването си и да влошавате производителността.
Защо се нуждаете от брокери на мрежови пакети?
Мрежовият пакетен брокер (NPB) е инсталиран между сплитера или SPAN портовете, използвани за достъп до мрежови данни, както и инструменти за сигурност и наблюдение. Както подсказва името, основната функция на брокера на мрежови пакети е: да координира мрежовите пакети данни, за да гарантира, че всеки инструмент за анализ точно получава данните, от които се нуждае.
NPB добавя все по-критичен слой интелигентност, който намалява разходите и сложността, като ви помага да:
За получаване на по-изчерпателни и точни данни за по-добро вземане на решения
Брокерът на мрежови пакети с разширени възможности за филтриране се използва за предоставяне на точни и ефективни данни за вашите инструменти за наблюдение и анализ на сигурността.
По-строга сигурност
Когато не можете да откриете заплаха, е трудно да я спрете. NPB е проектиран да гарантира, че защитните стени, IPS и други защитни системи винаги имат достъп до точните данни, от които се нуждаят.
Решавайте проблемите по-бързо
Всъщност само идентифицирането на проблема представлява 85% от MTTR. Престой означава загуба на пари и неправилното боравене с тях може да има пагубно въздействие върху вашия бизнес.
Контекстно съобразеното филтриране, осигурено от NPB, ви помага да откриете и определите основната причина за проблемите по-бързо чрез въвеждане на разширена интелигентност на приложенията.
Увеличете инициативността
Метаданните, предоставени от smart NPB чрез NetFlow, също така улесняват достъпа до емпирични данни за управление на използването на честотната лента, тенденциите и растежа, за да пресече проблема в зародиш.
По-добра възвръщаемост на инвестицията
Smart NPB може не само да събира трафик от точки за наблюдение като комутатори, но също така да филтрира и съпоставя данни, за да подобри използването и производителността на инструментите за сигурност и наблюдение. Като обработваме само съответния трафик, можем да подобрим производителността на инструмента, да намалим задръстванията, да минимизираме фалшивите положителни резултати и да постигнем по-голямо покритие на сигурността с по-малко устройства.
Пет начина за подобряване на възвръщаемостта на инвестициите с брокери на мрежови пакети:
• По-бързо отстраняване на проблеми
• По-бързо откриване на уязвимости
• Намалете тежестта на инструментите за сигурност
• Удължете живота на инструментите за наблюдение по време на надстройки
• Опростете съответствието
Какво точно може да направи НПБ?
Агрегирането, филтрирането и доставянето на данни звучи просто на теория. Но в действителност интелигентният NPB може да изпълнява много сложни функции, което води до експоненциално по-висока ефективност и сигурност.
Балансирането на натоварването на трафика е една от функциите. Например, ако надграждате мрежата на вашия център за данни от 1Gbps на 10Gbps, 40Gbps или по-висока, NPB може да забави, за да разпредели високоскоростния трафик към съществуваща партида от 1G или 2G нискоскоростни инструменти за мониторинг на анализи. Това не само увеличава стойността на текущата ви инвестиция за мониторинг, но също така избягва скъпи надстройки, когато ИТ мигрират.
Други мощни функции, изпълнявани от NPB, включват:
Излишните пакети данни се дедупликират
Инструментите за анализ и защита поддържат приемането на голям брой дублиращи се пакети, препратени от множество сплитери. NPB може да елиминира дублирането, за да попречи на инструментите да губят мощност за обработка при обработка на излишни данни.
SSL декриптиране
Криптирането на Secure Socket Layer (SSL) е стандартната техника, използвана за сигурно изпращане на лична информация. Въпреки това, хакерите могат също да скрият злонамерени кибер заплахи в криптирани пакети.
Изследването на тези данни трябва да бъде декриптирано, но декомпозирането на кода изисква ценна процесорна мощност. Водещи брокери на мрежови пакети могат да разтоварят дешифрирането от инструменти за сигурност, за да осигурят цялостна видимост, като същевременно намалят тежестта върху скъпите ресурси.
Маскиране на данни
SSL дешифрирането прави данните видими за всеки, който има достъп до инструменти за сигурност и наблюдение. NPB може да блокира номера на кредитна карта или социално осигуряване, защитена здравна информация (PHI) или друга чувствителна лична информация (PII), преди да предаде информацията, така че тя да не се разкрива на инструмента и неговите администратори.
Съкращаване на заглавката
NPB може да премахва заглавки като VLAN, VXLAN, L3VPN, така че инструментите, които не могат да обработват тези протоколи, все още могат да получават и обработват пакетни данни. Видимостта, съобразена с контекста, помага за откриването на злонамерени приложения, работещи в мрежата, и отпечатъците, оставени от нападателите, докато работят в системата и мрежата.
Разузнаване на приложения и заплахи
Ранното откриване на уязвимостите намалява загубата на чувствителна информация и в крайна сметка разходите за уязвимости. Видимостта, съобразена с контекста, осигурена от NPB, може да се използва за разкриване на индикатори за проникване (IOC), идентифициране на геолокацията на вектори на атака и борба с криптографски заплахи.
Интелигентността на приложенията се простира отвъд слоеве 2 до 4 (OSI модел) на пакетни данни до слой 7 (приложен слой). Богати данни за поведението и местоположението на потребителите и приложенията могат да бъдат създадени и експортирани, за да се предотвратят атаки на приложния слой, при които зловреден код се маскира като нормални данни и валидни клиентски заявки.
Видимостта, съобразена с контекста, помага за откриването на злонамерените приложения, работещи във вашата мрежа, и отпечатъците, оставени от нападателите, докато работят през вашата система и мрежа.
Мониторинг на приложения
Видимостта на възприемането на приложението също има дълбоко въздействие върху производителността и управлението. Може би искате да знаете кога служители са използвали услуги, базирани на облак, като Dropbox или уеб-базиран имейл, за да заобиколят политиките за сигурност и да прехвърлят фирмени файлове, или кога бивши служители са се опитали да получат достъп до файлове, използвайки базирани на облак услуги за лично съхранение.
Ползите от NPB
• Лесен за използване и управление
• Интелигентност за премахване на тежестта на екипа
• Без загуба на пакети - работи с разширени функции
• 100% надеждност
• Архитектура с висока производителност
Време на публикуване: 20 януари 2025 г
