В 2017 году сетевое подразделение Aruba компании Hewlett Packard Enterprise анонсировало комплексное решение сетевой безопасности Aruba 360 Secure Fabric. Это решение обеспечивает 360-градусную защиту корпоративной сети от внешних и внутренних угроз в постоянно меняющемся периметре безопасности с появлением беспроводных устройств и облачных сервисов.
Решение построено на нескольких ключевых компонентах.
Прежде всего, это безопасная и проверенная инфраструктура.
Сетевые продукты Aruba изначально разрабатывались с учетом максимальной безопасности.
Современные контроллеры способны обеспечить высокоскоростную (до 100 Гбит/с) обработку интернет-трафика с учетом функции Deep Package Inspection (DPI).
Это также связано с появлением специализированного протокола Advanced Monitoring (AMON), который предназначен для передачи большого количества разнообразной информации между WLAN-контроллерами и системой управления и служит дополнительным источником информации для систем безопасности.
Следующим компонентом структуры Aruba 360 является система контроля доступа к инфраструктуре Aruba ClearPass, которая принадлежит к семейству программных продуктов, которые в совокупности называются Network Access Control (NAC).
Этот продукт заслуживает подробного рассмотрения и мы планируем посвятить ему отдельную серию статей.
Начнем с того, почему в современных условиях нельзя полагаться исключительно на периметр сетевой безопасности и откуда возникает необходимость в SIEM-системах.
Периметр безопасности построен на основе глубокой интеграции партнерских решений, расположенных на стыке незащищенных сетей и сегмента DMZ. Это устройства, обеспечивающие межсетевой экран, сигнатурный анализ проходящих данных, работу с зашифрованным трафиком, криптографический аудит и т. д. Злоумышленникам сложно преодолеть упомянутые выше классические системы безопасности, защищающие периметр корпоративных сетей, поэтому они часто выбирают другой подход для атак.
Атака может быть основана на внедрении и распространении вредоносного кода через оборудование сотрудников компании.
Законный пользователь может потерять или оставить свое корпоративное устройство без присмотра или подключиться к незащищенным общедоступным сетям Wi-Fi. Другой распространенный способ создать отправную точку для атаки — отправить пользователю ложную ссылку или отправить ему вредоносное вложение к электронному письму, что затем позволяет внедрить вредоносный код на компьютер законного пользователя.
В последнее время мы все чаще видим примеры вредоносных действий с использованием IoT-устройств, основными недостатками которых являются «дефолтные» настройки и старое программное обеспечение с известными уязвимостями (например, на IP-камеры под управлением Windows 95 или MS DOS мало кто устанавливает патчи).
.
Иногда злоумышленником может стать сотрудник организации и начать собирать ценные корпоративные данные с целью шантажа или коммерческой выгоды.
В прошлом году широкое распространение получили такие программы-вымогатели, как WannaCry и Pyetya. До появления самораспространяющихся программ-вымогателей вредоносное ПО распространялось тремя способами: через загрузки с веб-сайтов, по электронной почте или с физических носителей, таких как вредоносные USB-устройства.
Следовательно, чтобы заразить устройство или систему программой-вымогателем, в той или иной степени требовалось вмешательство человека.
Злоумышленники научились использовать методы социальной инженерии, и в будущем эти навыки будут только улучшаться.
По оценкам аналитиков, если организация полагается только на технологии для устранения уязвимостей безопасности, она решит только 26% проблем.
Если организации используют только политики для решения проблем безопасности, это решит только 10% проблем; а если используют только обучение пользователей — всего 4%.
Поэтому необходимо контролировать все три аспекта безопасности вместе.
Добавим к этому острую нехватку квалифицированного ИТ-персонала, способного оперативно обрабатывать информацию о сетевых событиях и выносить однозначно правильный вердикт о состоянии безопасности.
В этом случае на помощь могут прийти так называемые SIEM (security information and event Management) системы, предназначенные для сбора самых разнообразных информационных событий безопасности и помощи центрам сетевой безопасности (SOC) в анализе событий и построении отчетов.
Но они, как оказалось, не могут дать полной картины из-за сложности обработки информации человеком и большого количества ложных срабатываний.
В соответствии с аналитический отчет Для небольших компаний с выручкой менее $100 млн расследование инцидента занимает около 10 минут. В компаниях с численностью от 1001 до 5000 сотрудников у 26 компаний из 85 опрошенных время расследования инцидента может занять от 20 минут до часа.
Ключевым выводом из этой статистики может быть то, что если каждый аналитик тратит так много своего времени на расследование инцидента безопасности, а таких инцидентов может быть 10 или более, то работа по расследованию инцидентов безопасности может исчерпать весь доступный человеческий персонал.
Согласно тому же отчету, SIEM-системы могут генерировать до 10 000 событий в минуту, которые включают в себя ложные срабатывания и иногда требуют немедленного анализа со стороны персонала.
Отделение сигнала от шума – это не пустые слова в случае SIEM-систем.
В этом случае на помощь службам безопасности могут прийти системы искусственного интеллекта.
Продолжение следует! Теги: #Сетевые технологии #сетевое оборудование #ИТ-инфраструктура #ИИ #безопасность #ИИ #ИИ и машинное обучение #ueba #aruba
-
Меррифилд, Роберт Брюс
19 Oct, 24 -
Примечания: «Сбор Требований Стал Проще»
19 Oct, 24 -
Обзор Сервера Lenovo Thinksystem Sr950
19 Oct, 24 -
О Приеме На Работу В Яндекс
19 Oct, 24 -
Скайп Настолько Безопасен?
19 Oct, 24 -
Определение Ip-Адреса В Скайпе
19 Oct, 24
