Використання NetFlow для забезпечення мережевої безпеки

В реалізації захисту від кібератак, ІТ-служби завжди були орієнтовані на гарантування безпеки саме мережевого периметра.

При переміщенні даних в напрямку захищених ресурсів цей метод цілком ефективний. Однак, як показує практика, однієї тільки безпеки периметра недостатньо. Особливо для захисту від цільових кібератак (Advanced Persistent Threat, APT). Вони характеризуються наявністю конкретної цілі у зловмисників, не обмеженістю в часі та ресурсах. Такі атаки справедливо вважаються найбільш руйнівними.

Іншим чинником, являється зростання популярності концепції Bring Your Own Device (BYOD). Вона передбачає використання співробітниками своїх особистих девайсів в роботі. Згідно з дослідженнями, проведеними міжнародною консалтинговою компанією IDC, близько 95% співробітників компаній вже зараз використовують принаймні один особистий пристрій для робочих цілей. Чому ця концепція набирає такої популярності? Відповідь доволі проста - це зручно. На зустрічах із замовниками та переговорах з партнерами, безумовно, зручно мати доступ до актуальної корпоративної інформації, наприклад бази контактів, прайс-листів, презентацій тощо.

Згідно з опитуванням компанії Cisco респонденти бачать основні переваги BYOD в збільшенні продуктивності і розширення можливостей спільної роботи, а також скорочення витрат до 40%. Це і справді так. Тому фахівцям з інформаційної безпеки не потрібно боротись з цим наростаючим трендом, набагато ефективніше буде сконцентруватись на захисті навіть не захищених точок доступу.

Для вирішення такої задачі потрібні інтелектуальні рішення, які носять всеосяжний характер, засновані на аналізі поведінки і доповнюють існуючі зонні засоби забезпечення безпеки.

Одне з таких рішень полягає в використанні мережевої інфраструктури в якості датчика. Це робиться шляхом активації збору потоків IP-трафіку і розгортання систем виявлення аномалій на основі аналізу поведінки мережі (моніторингу мережевого трафіку), що дозволяє виявити підозрілий трафік, порушення політик і компрометацію кінцевих пристроїв.

Використання моніторингу IP-потоків (NetFlow) в поєднанні з використанням колекторів NetFlow, орієнтованих на безпеку (наприклад, StealthWatch), сприяє швидкому виявленню незвичайної і аномальної поведінки. Повна реалізація NetFlow дозволяє фіксувати всю мережеву активність на інтерфейсі, через який проходить IP-потік. Це корисно для кореляції подій і аналізу даних. Ключовим моментом є збір даних про весь потік даних, що допомагає зменшити число помилкових спрацьовувань (в порівнянні з рішеннями вибіркового захоплення пакетів). Крім того, завдяки можливості переглядати весь потік вдається виявляти випадки повільного сканування мережі та атомарних атак, нерозпізнаних традиційними рішеннями безпеки.

Підсумовуючи, сучасні загрози з інформаційної безпеки не стоять на місці. З кожним роком атаки стають все більше витонченішими та руйнівними. Але ми, спеціалісти з інформаційної безпеки, повністю готові до нових викликів.