Согласно докладу компании Verizon (Verizon Data Breach Investigations Report), 14% всех нарушений совершают инсайдеры. Кроме того, там же сказано, что в 76% проанализированных компанией нарушениях использовались ворованные или легко угадываемые данные аутентификации, которые позволяют получить доступ в сеть, и в 29% - использовались методы социальной инженерии. Это делает инсайдеров ключевой проблемой, с которой сталкивается сетевая безопасность.

Сетевая визуализация
В то время, как превентивные технологии безопасности и опыт применения, такой как защита периметра, контроль доступа, шифрование данных и обучение пользователей, и могут хорошо работать, но они не срабатывают при инсайдерских угрозах. Подобная защита не срабатывает против угроз, когда преступники уже имеют привилегированный доступ в сеть и им не надо использовать вредоносный код или специализированное ПО для осуществления атаки. Чаще всего единственным реальным методом идентификации и предотвращения подобного нарушения является система полной визуализации того, что происходит внутри сети. Получение полного аудита всей сетевой активности позволяет организации быстро обнаружить аномальное поведение, которое может сигнализировать о возникновении риска.
Различные технологии, такие как файервол, SIEM, IDS/IPS, захват пакетов и NetFlow могут фиксировать сетевую активность для получения знания того, что происходит в сети. Конечно существуют различия в этих технологиях и очень важно рассматривать преимущества и недостатки каждого подхода.

Преимущества NetFlow
Как показано на рисунке ниже, NetFlow обеспечивает очень обширный, эффективный с точки зрения стоимости и легкий метод получения полной картины сетевой активности. NetFlow позволяет взглянуть на все транзакции, происходящие в сети, и быстро обнаружить подозрительную активность, такую как email с большими приложенными файлами, отсылаемые в посторонние адреса или необычно большой трафик на принтер (что свидетельствует о воровстве данных или инфильтрации).

Если использовать новейшие технологии типа Lancope’s StealthWatch System, NetFlow-мониторинг может также обеспечить дополнительные возможности анализа контекста, включая получение информации об устройствах, приложениях и идентичности, с целью дополнительного анализа и быстрой реакции на инциденты. Lancope также объявила о новой мониторинговой функциональности с акцентом на пользователей, которая позволяет администраторам исследовать поведение сети и аномалии, с учетом конкретных имен пользователей.


Лучший способ обнаружения и предотвращения инсайдерских угроз - это иметь возможность глубокого обзора внутренней среды и использования инструментов фильтрации и приоритезации в массивных объемах данных для точного анализа. В этом главная цель и преимущества StealthWatch. Хотя только технологией невозможно решить проблему инсайдерских угроз (тут должны быть совместные усилия подразделений IT, HR и юристов), NetFlow может обеспечить решение ключевой части этой проблемы.

Компания Verizon недавно опубликовала свой очередной и очень востребованный отчет  Data Breach Investigations Report. Этот документ, который включает в себя анализ более 47 тыс. известных инцидентов в области безопасности и 621 подтвержденных случаев утечек данных, содержит в себе очень интересную статистику и показывает тренды, связанные с кибер-безопасностью. Что наиболее важно, он указывает на факт, что системы реагирования на инциденты и обеспечения сетевого надзора должны играть значительно большую роль в стратегии безопасности организаций. Компания Lancope проанализировала этот документ.

Инсайдерские угрозы и APT (Advanced Persistent Threats)

Отчет говорит о том, что 14% нарушений были совершены инсайдерами и 19% были связаны с группировками, спонсируемыми государствами. Эти два типа атак наиболее трудно обнаружить обычными системами контроля безопасности на уровне периметра или базирующихся на анализе сигнатур. Инсайдеры уже имеют разрешенный доступ к сети и им не требуется проходить любые традиционные средства защиты, чтобы  начать воровать информацию или вредить вашей инфраструктуре. В свою очередь преступники второго типа (которые, в основном, ответственны за APT) известны тем, что создают специальные скрытные методы для проникновения за периметр внутрь сети без использования ПО, которое может быть обнаружено обычными средствами защиты. И действительно 76% проникновений, проанализированных Verizon, использовали украденные или легко определяемые аутентификационные данные для получения доступа в сеть, а 29% использовали тактику социальной инженерии. Кроме того, более 95% спонсируемых государствами фактов кибер-шпионажа использовали фишинг как средство инфильтрации в целевую систему. Единственный метод защиты от таких,  все чаще встречающихся, атак (инсайдеры и APT) - это знать, что происходит в вашей сети и быть способным определить подозрительное поведение, которое может повысить риск.

Значение отклика на инциденты

Как сказано в отчете Verizon, "предотвращение атаки очень важно, и мы всегда будем обращать внимание на эту цель. Но мы должны принять тот факт, что нет непреодолимых барьеров и обнаружение инцидентов и реакция на них является сегодня важнейшей линией обороны".
Verizon также отдельно отмечает NetFlow, как "очень полезный ресурс для исследований". Путем сбора и анализа NetFlow и других типов потоковых данных, Lancope StealthWatch, в частности, позволяет получить полную картину сетевой активности для обнаружения угроз из-за инсайдеров в сети, а также проводить аналитические исследования для того, чтобы не допустить скрытых современных атак.

Обеспечение прозрачности сети - это ключ к сохранению безопасности

Forrester, в свою очередь, также указал на этот пункт в своем анализе отчета Verizon, называя провайдеров систем обеспечения сетевой прозрачности, таких как Lancope, ключевым компонентом в идентификации большинства звеньев сложных "убийственных цепочек", создаваемых кибернетическими преступниками. Аналитик Forrester Рик Холланд указывает, что "анализ трафика и обеспечение прозрачности всех процессов должны быть внедрены в вашей сетевой среде. Когда подводит превентивный контроль, и мы знаем, что это наверняка произойдет, нам необходима сильная система исследования сети. Такие решения способны обнаруживать факты передачи, выполнения команд и контроля вашей инфраструктурой, также как и факт инфильтрации". Здесь он упоминает несколько производителей, включая Lancope, которые работают в этом направлении.
В целом, отчет Verizon - это очень ценный документ для любой организации. Учитывая, что 66% нарушений продолжались в течение месяцев и даже больше того, прежде чем они были обнаружены (согласно отчету), он еще раз подчеркивает важный факт, что существующее состояние систем защиты уже не может обеспечить сетевую безопасность в наши дни. Подразделение безопасности должно играть более активную роль в защите сети, внедряя такие инструменты, как мониторинг на базе потоковых технологий, который обеспечивает полную прозрачность сети и предоставляет данные для анализа безопасности.

Дополнительную информацию о том, как использовать NetFlow для противодействия современным кибер-угрозам, можно получить в документе компании Lancope "Internal Network Visibility for APTs and Insider Threats".

Источник: http://web-control.livejournal.com/25748.html

Распределенные атаки типа "отказ от обслуживания" (distributed denial-of-service, DDoS) впервые появились в новостях в декабре 1999 года; и этот случай был связан с системой trin00, основанной на использовании ботнета. Эти атаки сегодня эволюционируют, но принцип остался прежним: сотни и тысячи географически распределенных хостов начинают бомбардировать пустыми запросами сервера, после чего последние начинают испытывать перегрузку и не могут своевременно обрабатывать легитимные запросы. Все это время производители пытаются разработать продукты, которые эффективно противостоят DDoS.

Проблемы обороны от DDoS

Защититься от DDoS сложно по следующим трем основным причинам.

• Врожденные уязвимости сети
  Во-первых, в этом случае нет уязвимостей сети, которая используется преступниками. Атака успешна потому, что в природе всех компьютерных платформ существует некий порог доставки. Компьютеры, кластеры или облачные системы - все они имеют физические ограничения по количеству запросов, которые они могут обрабатывать в заданное время. Успешная атака DDoS должно просто генерировать достаточное количество трафика, чтобы превысить это пороговое значение. Большая часть других атак может быть отражена путем использования специальных патчей, конфигурацией систем безопасности или изменение политик. Но ни один из этих подходов не поможет противостоять DDoS. Службы должны быть всегда доступны и, значит, уязвимы для атак.
• Невозможность заблокировать толпу
  DDoS очень сложно заблокировать, поскольку существует очень много источников атаки. Очень трудно обеспечить эффективную блокировку длинного списка атакующих IP-адресов. Потенциально тысячи адресов должны быть временно добавлены в черный список для того, чтобы остановить атаку. Если атакующий использует метод, прикрывающий атаку вполне легитимными хостами (spoofing), то в черный список могут попасть и невинные хосты.

• Поиск виновных
  Тут мы сталкиваемся с третьей проблемой: очень сложно определить, какие пользователи делают вполне законные запросы, а какие участвуют в DDoS. Поскольку все компьютеры, получающие доступ к услугам, создают нагрузку на сервер, то они все и участвуют в атаке, даже не зная об этом. Нужна очень аккуратная проверка, чтобы определить, какие клиентские хосты "хорошие", а какие "плохие". Нужно сделать много расчетов и сделать их быстро, прежде чем будут приняты какие-либо решения.

Когда все меры не помогают

Современные DDoS-атаки заставили специалистов задуматься, почему их обычные механизмы предотвращения таких атак не работают. Суть в том, какой бы механизм защиты не использовался, если у атакующих есть масса времени для его исследования, то он будет преодолен.
Сейчас преступники стали лучше финансироваться и создают более сложные инструменты атак, чем раньше. Они могут купить точно такие же механизмы защиты, которые используются внутри корпорация, и начать разрабатывать методику для их преодоления. Распределенные каналы и ботнеты позволяют очень быстро начать такую продвинутую DDoS-атаку. Роль постоянного наблюдения за поведением сети становится в этих условиях особенно критичной, когда понимаешь, как атакующие проводят свои атаки.
Сетевое обнаружение аномалий
Подобных систем не так уж и много на рынке, и одной из наиболее продвинутых является Lancope StealthWatch. Это устройство создает "снимок" (базовую отметку) нормального трафика для каждого сетевого хоста, группы хостов и определяет взаимоотношения между хостами. Подобный подход позволяет StealthWatch сигнализировать при следующих условиях, ассоциирующихся с DDoS:

• Высокий индекс мишени. Каждому хосту присваивается значение, соответствующее уровню подозрительной активности, которая направлена на него. Это позволяет получить список приоритетных активов, которые находятся в максимальной опасности.


• Время отклика сервера. Используя устройства FlowSensor и FlowSensor VE, система StealthWatch может сигнализировать, когда веб-сервер или сервер баз данных начинает захлебываться.


• Количество пакетов в секунду. StealthWatch может отображать чрезмерное количество трафика, направленное на сетевые ресурсы.


• Закупорка интерфейса. Метрики уровня производительности интерфейса постоянно контролируются, обеспечивая просмотр атаки на физическом уровне.


• Максимальное количество обслуживаемых потоков. Каждый сервер создает базовые параметры нормального объема соединений. Когда этот порог преодолевается, оператор StealthWatch получает соответствующий сигнал.


• Максимальное количество получаемых SYN. Когда сервер начинает получать "нездоровое" количество пакетов TCP SYN, можно использовать раннее предупреждение об этом.


• Высокий общий трафик взаимосвязей. Когда создается такое количество HTTP-запросов, которое превышает возможности сервера баз данных, то появляется сигнал о несоответствии взаимного количества запросов-ответов, показывающий проблемы на таком уровне, на котором другие системы борьбы с DDoS не работают.


• Активность нового хоста. Легитимные пользователи веб-сервисов имеют тенденцию к регулярности своих визитов. Атакующие хосты не имеют привычки задерживаться или возвращаться на "место преступления". StealthWatch может различать эти два типа пользователей.


• High Concern Index. Это собственная методика Lancope, которая заключается в том, что такой индекс (показатель) опасности позволяет определять приоритет подозрительной или аномальной активности, проистекающей от хоста. Внешние "агрессоры" вызывают появления сигнала от High Concern Index, когда компьютеры, к которым они хотят подключиться, будут иметь низкий индекс.


• Максимальное количество инициируемых потоков. Зная количество потоков в минуту, которое создает легитимный пользователь при доступе к сервису, StealthWatch будет сигнализировать о хостах, которые будут показывать превышение такой нормы.

Заключение

DDoS - это один из видов атак, которые организация может обнаружить, даже не имея соответствующей сетевой системы наблюдения за трафиком. Но без надежного и интеллектуального мониторинга сети практически невозможно противостоять такому событию. DDoS - это тот тип атак, который все еще продолжает наносить вред компаниям и организациям. Продолжающаяся эволюция инструментов DDoS и широкое распространение этих угроз среди хакеров и компьютеров в масштабных ботнетах требует использования не только решений, способных уменьшить их воздействие, но и решений, обеспечивающих визуализацию сети, что, в свою очередь, облегчает пробраться через туман, который поднимается при атаке класса "отказ от обслуживания".

Согласно декабрьскому (2012 г.) отчету Gartner примерно 85% случаев нарушения безопасности прошли полностью незамеченными в корпоративных сетях. Процент кажется завышенным, но дальнейшая статистика объясняют, почему это так. Среди инцидентов, которые были обнаружены, 92% событий не были замечены пострадавшими организациями. Они были выявлены сторонними лицами, в частности, репортерами или при вымогательствах, которыми занимались сами атакующие.

История систем наблюдения за сетью

Хакеры-тяжеловесы против защитников в весе пера

Сбалансированная безопасность

Учиться у систем физической безопасности

Что вы имеете в виду, говоря, что меня ограбили?

Самооценка

• Какой объем P2P- или Onion Routing-трафика крутится в моей сети?
• Какие хосты в моей сети подключены к известным серверам бот-сетей?
• Какие пользователи моей сети пытаются получать доступ к информации, которой они не должны интересоваться?
• Сколько информации покидает мою сеть и передается в сети конкурентов?

Проверка исполнения правил

Информированная реакция

Ищите странности

Заключение

Угрозы инсайдеров становятся все более серьезными. За последние несколько лет мы видим постоянный поток сообщений об инцидентах, связанных с нарушением своих обязательств и прав авторизованными пользователями, которые намеренно саботируют свою компанию и передают информацию конкурентам. Одновременно изменяется и бизнес-среда, которая все больше полагается на аутсорсинг, подрядные компании и сторонние технологические платформы, что приводит к тому, что ценная бизнес-информация становится доступной все большему количеству людей. В случае инсайдерских утечек контроль доступа и защита периметра не помогут, вредитель уже находится внутри периметра. Нужно что-то другое...
Вот пять шагов, которые необходимо предпринять для противодействия подобным угрозам:

• Разработать детальный процесс закрытия доступа в сеть сотруднику. Это кажется простым и очевидным вопросом, но множество организаций имеют "дыры" в этом процессе, что мешает закрыть определенные аккаунты или обнаружить и "обрубить" активное соединение в то время, когда сотрудник покидает организацию.
• Создать систему "сдержек и противовесов" для системных и сетевых администраторов. Административный доступ ко всем системам и устройствам следует предоставить более, чем одному человеку, но необходимо исключить совместное использование одних и тех же логинов и паролей, поскольку совместно используемый аккаунт сложно контролировать и аннулировать.
• Работать совместно с руководителями для идентификации недовольных сотрудников. IT-мониторинг и обнаружение нарушений должны рассматриваться как "воздушная поддержка" для усилий менеджмента "на земле" по идентификации людей, кто чем-то недоволен или уже занимается мошенничеством. Неправильное использование компьютерных ресурсов очень часто может быть связано с другим "странным" поведением на работе.
• Обратить внимание на аудит доступа к системам и сетевую активность перед увольнением сотрудника. Большая часть активности инсайдеров происходит в то время, когда сотрудник находится уже на пороге увольнения, и эта активность часто определяется путем проверки информации логов, включая традиционный Syslog, а также NetFlow и другие аналогичные технологии.
• IT не должны решать проблемы инсайдерских угроз в одиночку. Это междепартаментная проблема, которая требует взаимодействия между IT, HR, юристами и управлением компании. Только так можно идентифицировать "потенциально опасных" сотрудников, не нарушая при этом права людей на приватность.

С точки зрения технологий единственный путь предотвращения такого рода атак, это иметь возможность "видеть", что инсайдеры делают в сети, т.е. контролировать нестандартное сетевое поведение. Такое, как необычно большой объем передачи данных или попытки доступа в зоны ограниченного доступа. Более подробную информацию на эту тему можно получить здесь: http://www.lancope.com/solutions/security-operations/.

Нижеуказанные данные являются результатом анализа десятков внедрений аналогичных систем и разговоров с сотнями клиентов. В итоге мы смогли выделить 5 ключевых параметров, позволяющих успешно внедрить систему контроля сети с использованием NetFlow:
5) Масштабируемость. Хотя в большинстве сетей наших заказчиков не посылается более, чем 20К потоков в секунду со всех коммутаторов и маршрутизаторов, скорость сбора данных очень важна. В ближайшем будущем оборудование будет пересылать еще больше детальных данных в формате NetFlow и IPFIX и, следовательно, коллекторы начнут сталкиваться с удвоенным и утроенным объемом потоков. Поэтому, как минимум, выбирайте производителя решения, которое сможет быть масштабировано до уровня выше 100К потоков в секунду на одно устройство. С такими возможностями по емкости вы сможете масштабироваться до миллионов, используя распределенную среду сбора NetFlow.
4) Обнаружение сетевых угроз. Файерволы и системы защиты от вторжений (Intrusion Protection Systems, IPS) являются первой линией защиты от вредоносного сетевого ПО, но они не справляются со внутренними угрозами. Модель безопасности класса Zero-Trust требует постоянного мониторинга malware, которое уже проникло внутрь сети. Такие системы отслеживают странное поведение потоков за минуты для каждого хоста в сети. Они сравнивают IP-адреса со списками Internet Reputation и сигнализируют в случае превышения индекса репутации или при повышенном росте трафика для какого-либо хоста.
3) Расследование. Идентификация угрозы почти всегда требует продолжить исследования. Способность определения, где вредоносное ПО проникло в вашу сеть, как оно это сделало, кто при этом входил в сеть и когда это произошло, требует самой лучшей специализированной фильтрации трафика и широких возможностей построения отчетов. В большинстве случаев, когда мы очищаем систему от вредоносного ПО, нам необходимо знать, кто еще может быть задействован. Поиск по базе данных устройств, замеченных в аналогичном аномальном поведении трафика, должен быть быстрым, масштабируемым и способным просматривать данные за значительный прошлый период времени.
2) Корреляция потоков и логов. Отчетность на основе NetFlow И IPFIX существенно обогащается, когда данные могут коррелироваться с информацией от syslogs или машинных логов. Если syslog сообщает об угрозе или запрещенном соединении, мы можем получить IP-адрес или протокол, отследить данные потока и определить, кто или что участвовали в это время в событии. Граница между данными потоков и логами уменьшается и среднее время обнаружения (Mean Time To Know, MTTK) часто укорачивается, когда такие детали, как посещенный URL, доступны через один интерфейс.
1) Контекстные детали. Этот функционал только начинает предлагаться в NetFlow- или IPFIX-решениях следующего поколения. Контекстные данные еще более расширяют возможности корреляции логов и потоков, добавляя такие много говорящие детали, как имя пользователя, операционная система, которые раньше можно было найти только в некоторых логах или базах данных. Enterasys Mobile IAM и Cisco ISE собирают эти детали и могут быть настроены для совместного использования этой информации с системами анализа и отчетности на базе потоковых технологий, таких как StealthWatch. Учитывая растущий интерес к контролю трафика мобильных систем (BYOD), надо полагать, что этот список будет расширяться.

Lancope объявила, что ее продукт StealthWatch обеспечивает возврат инвестиций (ROI) в размере 259% в течение трех лет, согласно исследованиям Forrester Consulting \"Полное экономическое влияние Lancope StealthWatch\", проведенным в июне 2012 г. В этом исследовании указано также, что StealthWatch окупается за 10 месяцев.
Полный список финансово значимых преимуществ StealthWatch, перечисленный в этом документе, включает в себя:

• Отсутствие затрат, присущих альтернативным решениям
• Экономия затрат на обслуживание при замене сторонних решений
• Уменьшение затрат на определение и исправление инцидентов в сфере безопасности
• Влияние улучшенной прозрачности сети на работу help desk и системы поддержки от tier-one до tier-three
• Выигрыш в продуктивности подразделения обслуживания сети.

19 июля Lancope проводит вебинар, на котором будут обсуждаться результаты этого исследования. Зарегистрироваться на вебинар можно здесь: http://www.lancope.com/news-events/webinars/achieving-259-roi-with-stealthwatch/.
Полный текст исследования можно найти здесь: http://www.lancope.com/resource-center/industry-re...-economic-impact-stealthwatch/

Компания Lancope объявила, что ее флагманская система StealthWatch теперь включает в себя четыре новых информационных панелей для обзора угроз, связанных с сетевым прощупыванием, распространением внутреннего вредоносного ПО, трафиком класса command-and-control (CnC) и утечек данных.
Эти новые специально настроенные информационные панели позволяют организациям отслеживать эти особенно опасные и незаметные для других средств обнаружения кибер-атаки внутри сети.
Эти же информационные панели работают как ключевые компоненты нового решения Cisco Cyber Threat Defence. Это решение, комбинирующее самые лучшие функциональные возможности Lancope и Cisco, обеспечивает беспрецедентные возможности для контроля сети. Путем сбора и анализа NetFlow, IPFIX и других потоковых данных существующей инфраструктуры, StealthWatch обеспечивает глубокий контроль полного спектра внутренних и внешних угроз, с которыми сталкиваются сегодня корпоративные сети. Автоматическая приоритезация угроз и опциональная автоматическая смягчения их влияния решает многие проблемы и уменьшает время между идентификацией проблемы и ее разрешением.
Центром сбора, анализа, графической визуализации и отчетности состояния сети и безопасности для всей сети является StealthWatch Management Console, в рамках которой и работают новые информационные панели. Именно эти панели администраторы теперь могут видеть:

• Сетевое прощупывание - зондирование сети для определения возможностей, которые затем будут использованы для настраиваемых кибер-атак
• Распространение внутреннего вредоносного ПО - расползание этого ПО по хостам внутри сети, позволяющее получить информацию для прощупывания, украсть информацию или создавать "задние двери" для дальнейшей инфильтрации в сеть.
• Трафик класса command-and-control - коммуникация ботнетов между атакующими и зараженными хостами в сети
• "Просачивание" данных - экспортирование конфиденциальных данных в сторону атакующего, как правило с помощью коммуникаций типа command-and-control

Этот новый уровень интеллектуального контроля позволяет обеспечить возможность аналитику безопасности точнее скорректировать свои дальнейшие шаги для исключения любого типа риска.

Часто спрашивают , как технология сбора потоков и их анализа с помощью NetFlow влияет на затраты, необходимые для поддержки сети. Особенно часто сегодня, когда сети становятся все более сложными, а количество угроз все увеличивается, многие организации - государственные и частные - начинают смотреть на свою сетевую инфраструктуру с боязнью, не переставая думать, где же здесь следует ждать очередного крупного "прокола".
К сожалению, динамически изменяющаяся сетевая инфраструктура все менее эффективно защищается традиционными системами безопасности и мониторинга, а использование их становится все более дорогим.  Именно поэтому, многие организации начинают использовать NetFlow или IPFIX в качестве источника информации для обеспечения прозрачности сетевых процессов. Сегодня уже многие компании стали использовать StealthWatch для мониторинга на базе потоков для контроля всех "белых пятен" сети и, как результат, имеют сегодня более надежную систему защиты и мониторинга за меньшую цену. Как пример, Gartner оценивает, что NetFlow может обеспечить более, чем 80%-контроль всей сети. Эта аналитическая фирма при этом также утверждает, что "по мере того, как значение и удобство использования данных потоков возрастает, необходимость использования проб (зондов) будет уменьшаться, но никогда не исчезнет". 
Компания Lancope недавно подготовила новый отчет об окупаемости инвестиций (ROI, Return on Investment), которая может быть достигнута при использовании системы StealthWatch. Согласно отчету, при использовании этой системы:

• Высшая морская школа (The Naval Postgraduate School) увеличила уровень визуализации внтреннего сетевого трафика в 10 раз, с 90 Мб/мин до 900 Мб/мин.
• Дартмурский колледж (Dartmouth College) уменьшил количество сетевых угроз на 90%.
• Медицинская компания Aurora Health Care уменьшила время, затрачиваемое на исследование сетевых инцидентов вдвое.  
• Медицинский Puget Sound Blood Center сегодня экономит в среднем 22680 USD, которые он терял ранее за каждый час отказа сети.
• Ротердамский Grafisch Lyceum сегодня тратит на поддержку инфраструктуры и ПО на 75% меньше по сравнению с другими технологиями мониторинга.

Полный текст отчета находится здесь.

NetFlow v5 предоставляет нам возможность взглянуть в глубину сетевого трафика, NetFlow v9 дает еще больше средств, Flexible NetFlow является, хм..., flexible, ну а IPFIX что дает нам по сравнению с NetFlow?
Сейчас несколько вендоров уже поддерживают IPFIX. Это:

• Juniper
• Lancope
• Nortel
• SonicWALL
• Extreme
• NTOP
• Plixer

Итак... Коммутаторы, файерволы, программное обеспечение. Да, достаточно большой набор устройств, которые могут поставлять информацию в коллекторы IPFIX.
Сравним два варианта экспорта.   Далее...

По мере роста корпоративной сети ею становится все более трудно управлять. Вы теряете возможность отслеживать процессы, которые в ней происходят, вы тратите деньги и силы, стараясь сохранить ее работоспособность. Для того, чтобы решить эти и многие другие задачи, появились системы, позволяющие контролировать и анализировать все происходящее в сети. Что же могут такие системы? Рассмотрим это на примере одной самых популярных и мощных систем контроля сетевого трафика на базе анализа данных NetFlow - Lancope StealthWatch.

Знаете ли вы, что ваши сотрудники 20% рабочего времени тратят на развлечения? Внедрение системы мониторинга и анализа сетевого трафика поможет обнаружить нежелательные сервисы, такие как использование P2P, участие в онлайновых играх, переписка в системах мгновенных сообщений, возможно также обнаружение нетипичных передач информации.

Знаете ли вы, что раннее обнаружение аномалий или атак может предотвратить события (и связанные с этим затраты), которые способны нанести вам материальный или репутационный ущерб? Система постоянного контроля сетевого трафика вполне эффективно справляется с предотвращением подобных проблем.

И это только немногое из того, что могут такие системы. Далее...

Компания Lancope объявила, что ее флагманский продукт StealthWatch теперь может анализировать сеть, включающую и мобильные устройства, обеспечивая таким образом высокий уровень защищенности в среде т.н. bring-your-own-device (BYOD).
Используя возможности анализа информации с мобильных устройств, собранной через существующую сетевую инфраструктуру, StealthWatch без дополнительных затрат и необходимости установки дополнительного ПО или оборудования может детектировать все события, источником которых являются любое устройство в сети.
Традиционные механизмы определения угроз, такие как пробы, антивирусы и IDS/IPS очень быстро становятся слишком дорогими и неэффективными в среде BYOD. В отличие от этих технологий, StealthWatch использует NetFlow и другие потоковые данные, получаемые из сетевой инфраструктуры, для обеспечения полномасштабной визуализации всех процессов в условиях резко меняющейся сетевой среды и высокой степени риска.
"Мобильные пользователи очень часто подвергают риску корпоративную безопасность сети и сегодня становится очень сложно, а часто и вовсе невозможно, устанавливать систему безопасности для кажого нового устройства, - говорит Джо Ягер (Joe Yeager), директор по продукт-менеджменту компании Lancope. - "Около 75% компаний позволяют своим работникам применять личные мобильные устройства на работе, и теперь наступило время для систем, подобных StealthWatch, которые используют возможности существующей инфраструктуры для обеспечения мониторинга действий любых устройств, которые подключаются к сети".
Традиционные механизмы определения угроз, такие как пробы, антивирусы и IDS/IPS быстро становятся слишком дорогими и неэффективными в среде BYOD. В отличие от этих технологий, StealthWatch использует NetFlow и другие данные потоков, получаемые из инфраструктуры, для обеспечения полномасштабной визуализации сети в условиях резко меняющейся сетевой среды и высокой степени риска.
Используя возможности сложного поведенческого анализа, StealthWatch может фиксировать аномальное поведение в любом месте сети, включая и персональные смартфоны, планшеты или ноутбуки. Таким образом появляется возможность быстро и легко отражать внешние атаки, такие как ботнеты, черви или угрозы продолжительного действия, а также фиксировать внутренние риски, включая неправильное использование сети, нарушение политик безопасности, утечки данных. И при этом независимо от того, какие устройства используются для этого.

Дистрибутором Lancope в России является компания Web Control.

В отчете приведены примеры (best practices) трансформации корпоративных сетей при использовании данных потоков в настоящем и будущем.
Доклад "The State of NetFlow: Advancing Security and Performance through Network Visibility" содержит экспертные комментарии ведущих специалистов Lancope, конечных пользователей NetFlow и других известных отраслевых экспертов. В отчете содержится много полезной информации о том, как использовать мощь потоковых данных для того, чтобы повысить уровень безопасности и производительности сети. Доклад можно скачать по следующему адресу: http://www.lancope.com/resource-center/industry-reports/state-of-netf....
Далее... (http://www.lancope.com/news-events/press-releases/...-network-security-performance/).

Компания опубликовала аналитический прогноз на 2012 год, где упомянуты пять основных угроз в области информационной безопасности. Эти предсказания касаются основных типов атак, которых следует ожидать в будущем году, и объясняют какой риск несут эти атаки.В 2011 году многие организации пострадали от подобных атак - вспомним только публикации WikiLeaks или атаки Anonymous и LulzSec. В следующем году следует ожидать подобной ситуации, если не более тяжелой.

Главные пять угроз по версии Lancope в 2012 году - это:
1. Продвинутые непрерывные угрозы (Advanced persistent threats, APTs) будут преобладать.
2. Потери от инсайдерской деятельности будут увеличиваться.
3. Атаки на промышленные системы останутся на том же уровне.
4. Угрозы, связанные с ошибочными действиями персонала, будут создавать постоянный риск.
5. Количество полностью автоматизированных атак будет уменьшаться.

Далее...

Компания была награждена за свои усилия по внедрению средств на базе NetFlow для защиты государственных и корпоративных сетей. Премией GSN Homeland Security Awards отмечают организации, которые приложили максимум усилий для обеспечения партнерства между государственными организациями всех уровней в США и производителями продуктов, решений и технологий в сфере информационной и физической защиты.  Системе Lancope StealthWatch доверили свои сети сотни государственных учреждений и корпораций, которые нуждались в надежной и интеллектуальной системе защиты информационных систем, обладающей возможностью реакции на возникающие инциденты. Далее…

Как правило, TAP (Test Access Port) не играют никакой роли в анализе и отчетности о сетевом трафике. Эти устройства созданы, чтобы транслировать данные в системы класса IDS или сниферы пакетов. Компания NetOptics намерена изменить эту ситуацию, выведя на рынок свой новый AppTap. AppTap обладает характеристиками, которые мы ожидаем от традиционных TAP: его устанавливают inline, он копирует фреймы Ethernet в порты мониторинга и при отключении просто превращается коннектор Cat-5, не мешая потокам трафика.

Но AppTap делает не только это. Этот TAP действительно анализирует сетевой трафик, предоставляя возможность получения отчетности о полосе пропускания и сетевой производительности прямо через свой веб-интерфейс. Далее...
 

Существуют две причины использовать NetFlow для оптимизации WAN. Наиболее простым и общим случаем является возможность использования инструментов на базе NetFlow для оценки возможностей по ускорению/оптимизации производителя, которого вы выбираете.

Мне кажется важным предложить вам исследовать ваши потребности, прежде чем вы примите решение. NetFlow может быть великолепной возможностью для определения ваших действительных потребностей. Понимание типов трафика, который проходит через вашу WAN, позволит вам принять более обоснованное решение.

Какой процент трафика, проходящего внутри вашей WAN, имеет отношение к вашему бизнесу?

Если вы обнаружите, что более, чем 50% вашего трафика составляет нежелательный веб-трафик, то простое использование DSCP и очередей на базе классов позволит вам решить проблемы производительности для бизнес-приложений.
Далее...
 

Все больше производителей начинает поддерживать NetFlow в своих продуктах. В частности, SonicWall недавно добавила поддержку NetFlow v5/v9/IPFIX в свою операционную систему SonicOS Enhanced v5.8.

Специалисты Lancope проверили новую систему и убедились - она работает. Теперь вы легко можете конфигурировать файервол SonicWall, который работает под управлением SonicOS v5.8, для передачи потоков в систему анализа данных StealthWatch . Теперь немного о деталях...

Рассмотрим настройку SonicWall и его механизм экспорта потоков в действии.
 Далее...

Компания Lancopeобъявила о выпуске StealthWatch 6.0 - системы мониторинга сетевых процессов, безопасности и производительности приложений нового поколения. Основанная на технологии анализа NetFlow и других поточных данных для обеспечения полной прозрачности сети и работающих в ней приложений, новая система компании Lancope позволяет очень существенно уменьшить время от обнаружения проблемы до ее ликвидации.

Несколько крупных клиентов компании Lancope, включая Cisco Systems, Grafisch Lyceum Rotterdam (GLR) и Concord Hospital, уже успешно провели бета-тестирование новой StealthWatch 6.0.

"NetFlow - это исключительно полезный и до сих пор недостаточно используемый инструмент контроля сети и разрешения различных сетевых проблем, - говорит Стив Макоуэн (Steve Mcowen), директор подразделения информационной безопасности Cisco Systems. - Lancope использует всю мощь NetFlow, не затрачивая при этом ресурсов ИТ-специалистов. Глубокий анализ данных потока, приложений и очень удобный в использовании графический интерфейс делает StealthWatch 6.0 исключительно универсальным средством для мониторинга и анализа очень широкого круга сетевых инцидентов".

Ключевые возможности StealthWatch - это:

• Мониторинг производительности приложений с помощью поведенческого анализа и глубокой инспекции пакетов (deep packet inspection), гарантирующий непрерывность и надежность работы приложений.
• Реляционный маппинг потока, обеспечивающий просмотр сетевого трафика для определенных сегментов сети в реальном времени и в графическом виде.
• Группировка родственных хостов для анализа трафика между ними, быстрого определения аномалий и оценки производительности.
• Расширенные возможности отчетности, позволяющие пользователям получать точную и детальную информацию и упрощающие создание высокоуровневых отчетов для менеджмента.
•  

StealthWatch полностью удовлетворяет требованиям, характерным для больших сетей и предприятий, анализируя более 1,5 млн. потоков в секунду. Объединяя функционал сетевого контроля и возможности мониторинга безопасности в единой, унифицированной платформе, использующей возможности существующей инфраструктуры, новая система ликвидирует "слепые пятна" в сети и уменьшает время и затраты, связанные с разрешением всевозможных сетевых проблем. Мощные возможности анализа данных и их поведения в сети позволяют использовать StealthWatch и для других целей, например, планирования ресурсов, анализа совместимости оборудования, планирования емкости, а также для HelpDesk и управления изменениями (Change Management).
Эксклюзивным поставщиком оборудования Lancope в России является компания Web Control.

Для получения более подробной информации о StealthWatch 6.0 вы можете ознакомиться с http://www.lancope.com/files/Lancope_StealthWatch_What's_New_in_6.0.pdf или зарегистрироваться для участия в вебинаре "Application Performance Monitoring with NetFlow" по адресу http://www.lancope.com/news-events/webinars/.