-ѕоиск по дневнику

ѕоиск сообщений в Web_Control

 -ѕодписка по e-mail

 

 -—татистика

—татистика LiveInternet.ru: показано количество хитов и посетителей
—оздан: 02.07.2010
«аписей:
 омментариев:
Ќаписано: 84

ќтчет Gartner 2012 г. говорит о катастрофическом состо€нии сетевой безопасности в мире

ƒневник

¬торник, 29 январ€ 2013 г. 12:33 + в цитатник

¬елика€ китайска€ стена/3867803_greatwall1 (600x450, 102Kb)—огласно декабрьскому (2012 г.) отчету Gartner примерно 85% случаев нарушени€ безопасности прошли полностью незамеченными в корпоративных сет€х. ѕроцент кажетс€ завышенным, но дальнейша€ статистика объ€сн€ют, почему это так. —реди инцидентов, которые были обнаружены, 92% событий не были замечены пострадавшими организаци€ми. ќни были вы€влены сторонними лицами, в частности, репортерами или при вымогательствах, которыми занимались сами атакующие.

 роме того, провод€ "обратный анализ" атак типа zero-day, лаборатори€ Symantec Research определила, что среднее врем€, которое требовалась дл€ обнаружени€ угрозы после ее внедрени€ в сети организации, составл€ло 312 дней, самое длительное врем€ при этом составл€ло 30 мес€цев. ¬се это позвол€ет сделать вывод, что организации не используют интеллектуальных средств обнаружени€ угроз.

 

»стори€ систем наблюдени€ за сетью

Ёволюци€ сетевой безопасности происходила необычным, извилистым путем, в результате которого мы оказались там, где мы есть. ћежду 2000 и 2005 годами у нас были годы любви с системами обнаружени€ вторжений (Intrusion Detection Systems, IDS). Ёти системы были созданы дл€ определени€ причин "плохого поведени€" сетей. ќсновна€ проблема, заключенна€ в IDS, состо€ла в том, что ее использование требовало наличи€ команды опытных операторов, которые могли бы интерпретировать подозрительные факты в сети и правильно на них реагировать.  оличество существующих талантов было значительно меньшим, чем требовалось, система их обучени€ только разрабатывалась и, что самое важное, бизнес решил не вкладывать деньги в создание своих собственных талантов в этой сфере.

’акеры/3867803_anonimous (640x480, 26Kb)

’акеры-т€желовесы против защитников в весе пера

–ешени€ класса IDS сумели остатьс€ на рынке только потому, что они постепенно преобразовывались в системы предотвращени€ вторжений (Intrusion Prevention Systems, IPS), которые могли автоматически обнаруживать угрозы. »ме€ такие системы, которые автоматически блокировали угрозы, организаци€м не было никакого смысла держать дорогую команду специалистов в области сетевой безопасности. –абота существующих команд безопасников была низведена до обслуживани€ файерволов, IPS и других средств информационной безопасности, вместо того, чтобы сконцентрироватьс€ на анализе сети и реагировании на инциденты. “ем временем интернет-преступники стали лучше финансироватьс€, их разработки стали более "умными" и сложными. —ейчас мы наблюдаем борьбу элитных хакеров против "героических" администраторов файерволов. —огласно статистике Gartner, шансы хакеров выиграть каждый "бой" без их обнаружени€ составл€ют 4 к 1.

 

—балансированна€ безопасность

 ак результат таких бизнес-решений, львина€ дол€ бюджета на безопасность и усилий направл€етс€ на создание политик и механизмов их применени€, направленных на противодействие неправильному поведению в сети и см€гчению последствий от таких нарушений. ¬се исследовани€ и анализ сети свод€тс€ к созданию статистических отчетов о запретительных действи€х, осуществленных инфраструктурой безопасности.

 

”читьс€ у систем физической безопасности

–ассматрива€ историю человечества, мы посто€нно сталкиваемс€ с фактами, подтверждающими важность баланса между надзором, принуждение к исполнению и реагированием на нарушени€. ѕрежде, чем выросла ¬елика€ китайска€ стена, здесь жили кресть€не, которые приносили вести о силах и намерени€х захватчиков с севера. ≈сли € заходил в винный магазин, мен€ не останавливали пуленепробиваемое стекло, лазеры или проваливающиес€ полы, просто за мной следили камеры наблюдени€. —олдаты, прежде чем научитьс€ стрел€ть из ружь€, обучаютс€ принципам караульной службы. Ќаблюдение - это фундаментальный элемент безопасности, как физической, так и сетевой.

 

„то вы имеете в виду, говор€, что мен€ ограбили?

¬ свете статистики, приведенной компанией Gartner, самое печальное заключаетс€ в том, что мы не можем определить, когда мы были ограблены. ƒревние кресть€не в северном  итае по крайней мере имели достаточное количество ситуационных предупреждений, чтобы знать, что они подвергаютс€ нападению.

 

—амооценка

—уществует несколько базовых вопросов дл€ каждой организации, на которые должны быть получены ответы:
  •  акой объем P2P- или Onion Routing-трафика крутитс€ в моей сети?
  •  акие хосты в моей сети подключены к известным серверам бот-сетей?
  •  акие пользователи моей сети пытаютс€ получать доступ к информации, которой они не должны интересоватьс€?
  • —колько информации покидает мою сеть и передаетс€ в сети конкурентов?
≈сли вы не можете ответить на эти вопросы, то у вас серьезна€ проблема. ¬прочем, к сожалению, така€ ситуаци€ очень обычна. ƒл€ упрощени€ проверки мы должны ответить на более простой вопрос:  ак € могу узнать, что нацеленна€ на мен€ атака прошла удачна и достигла моей сети?

 

ѕроверка исполнени€ правил

ѕосле того, как ¬елика€ китайска€ стена была построена, это не означало, что она могла теперь самосто€тельно отражать атаки. Ќа ней всегда находились часовые. Ќаблюдение €вл€етс€ критичным фактором в определении того, как работает механизм соблюдени€ корпоративных правил безопасности. ќчень часто в корпоративных сет€х можно видеть трафик, который, по идее, должен был блокировать механизм, уже внедренный в сети. »ногда это результат плохой конфигурации, иногда это результат продвинутых технологий обхода корпоративных политик. ќчень легко преодолеть любую стену, если никто не наблюдает и у вас есть дл€ этого куча времени. ≈сли не внедрить умную систему слежени€, то люба€ таргетированна€ (направленна€) атака рано или поздно добьетс€ своей цели.

 

»нформированна€ реакци€

–абота исследователей инцидентов значительно более эффективна, когда они работают с "доказательствами", которые хорошо описаны и каталогизированы.  риминальный взлом магазина на глазах камер и свидетелей значительно быстрее завершитс€ в суде, чем взлом несовершеннолетними хулиганами заброшенного склада.  огда сеть не снабжена системой умного слежени€, вы не только не обнаружите современную атаку, пока кто-нибудь со стороны не скажет вам об этом, вы не сможете даже определить ущерб, который вам нанесли, или методы, использованные атакующими дл€ проникновени€ в ваши сетевые закрома. ¬ итоге вы не становитесь информирование после всего этого, да и у€звимость остаетс€ не устраненной. “.е. проломанна€ дыра в вашей стене останетс€ на месте и будет всегда привлекать следующих преступников.

 

»щите странности

ќсновна€ техническа€ характеристика обычных систем класса IDS заключаетс€ в том, что они высматривают известный плохой трафик. ¬ основном это делаетс€ путем сравнени€ с шаблонами (сигнатурное определение).
¬ инструкци€х корпуса морской пехоты —Ўј сказано: "¬сегда будь на посту подготовлен к бою, будь посто€нно готов подать сигнал и следи за всем, что находитс€ в твоем поле зрени€ или слуха" и "—в€зывайс€ с командиром патрул€ в каждом случае, который не предусмотрен инструкцией". ¬ дополнение к необходимости сообщать о регистрации странных "плохих" фактов, патрульным необходимо всегда замечать вещи, которые наход€тс€ не на своем месте, и отправл€ть сообщение дл€ расследовани€. ¬ системе сетевого слежени€ также важно детектировать аномальное и подозрительное поведение, которое "не предусмотрено инструкцией".
”мна€ система слежени€ дл€ того, чтобы быть эффективной, должна быть способна обнаруживать как аномальное, так и подозрительное поведение трафика. √лавное то, что у вас, к сожалению, никогда не будет сигнатур (шаблонов) дл€ новых атак. » кто-то должен следить за странност€ми.

 

«аключение

Ѕез эффективной системы сетевого слежени€ хакеры будут продолжать безнаказанно грабить ваши "защищенные" ресурсы. ’от€ механизмы принудительного соблюдени€ правил €вл€ютс€ очень важными дл€ здоровь€ сети, они не могут заменить бдительных и обученных "стражей", которые след€т за современными продвинутыми и целевыми атаками. Ёто очень печально, когда в организации не могут даже ответить на самый фундаментальный вопрос: " ак € могу узнать, когда мо€ инфраструктура была атакована?". “ренированный персонал, имеющий современные решени€ сетевого умного слежени€ и анализа, подобные Lancope StealthWatch, €вл€етс€ сегодн€ единственной защитой против растущего вала сложных и умных атак.

ћетки:  

Telenor использует Lancope StealthWatch дл€ мониторинга своей сети

ƒневник

ѕ€тница, 02 »юл€ 2010 г. 15:04 + в цитатник

Web Control
“олько одно решение устроило оператора, в сети которого ежесекундно проходит более миллиона пакетов. ѕо словам ’енрика —трома (Henrik Strom), руководител€ департамента операционной »“- безопасности Telenor: "люба€ система обнаружени€ вторжений (Intrusion Detection System, IDS), котора€ рассматривалась нами, должна провер€ть весь этот трафик, более того, извещать нас в реальном времени о возникновении потенциального риска. ѕровед€ тестирование широкого круга систем мониторинга безопасности, мы остановились на StealthWatch, как единственном решении, которое может масштабироватьс€ дл€ удовлетворени€ нашим требовани€м в терминах сетевого трафика и возможностей управлени€" …

StealthWatch позвол€ет осуществл€ть контроль значительных объемов трафика в сети одного из крупнейших европейских операторов св€зи и ускор€ть разрешение инцидентов в сет€х центров обработки данных Telenor. –ешение StealthWatch в насто€щее врем€ обеспечивает мониторинг трафика дл€ всех дата-центров компании, относ€щихс€ к мобильным и »нтернет-сервисам и включающих в себ€ тыс€чи UNIX- и Windows-серверов, св€занных друг с другом с помощью около 30 мощных коммутаторов Cisco.

"¬ нашей сети ежесекундно проходит более миллиона пакетов трафика, - говорит ’енрик —тром (Henrik Strom), глава департамента операционной »“- безопасности Telenor. - Ћюба€ система обнаружени€ вторжений (Intrusion Detection System, IDS), котора€ рассматривалась нами, должна провер€ть весь этот трафик, более того, извещать нас в реальном времени о возникновении потенциального риска. ѕровед€ тестирование широкого круга систем мониторинга безопасности, мы остановились на StealthWatch, как единственном решении, которое может масштабироватьс€ дл€ удовлетворени€ нашим требовани€м в терминах сетевого трафика и возможностей управлени€".

ќсновным пользователем StealthWatch в насто€щее врем€ €вл€етс€ ÷ентр управлени€ безопасностью Telenor Norway, в дальнейшем предполагаетс€ его использование сетевым и серверными подразделени€ми, а также командой, отвечающей за управление приложени€ми. ¬недрив StealthWatch, подразделение информационной безопасности Telenor получила широкие возможности визуализации процессов в сети центра обработки данных, которые используютс€ дл€ предотвращени€ инцидентов, определени€ их причин и обеспечени€ соответствующего реагировани€.

"ћы можем видеть, какие сервисы используютс€ и предоставл€ютс€ через »нтернет, как эти сервисы коммуницируют с серверами, каким образом рабочие станции получают доступ к услугам и тому подобное, - говорит —тром. - –асширенные возможности StealthWatch позвол€ют нашим специалистам сосредоточитьс€ на решении проблем, а не на их обнаружении".

StealthWatch €вл€етс€ пионером в области сбора и анализа информации о потоках дл€ обеспечени€ высокого уровн€ производительности сети и мониторинга информационной безопасности, обеспечени€ сквозной визуализации процессов в физических и виртуальных сет€х. ¬ отличие от традиционных технологий мониторинга, требующих обширного внедрени€, использует принцип просмотра потоков дл€ получени€ эффективной с точки зрени€ стоимости визуализации процессов, улучшенной безопасности и высокой производительности. StealthWatch позвол€ет обслуживающему персоналу разрешать инциденты в течение нескольких секунд, уменьша€ тем самым общую стоимость обслуживани€ и защиты сети.

¬ –оссии решение StealthWatch можно приобрести только у компании Web Control.

ѕродукты Lancope на сайте Web Control
 


ћетки:  

–ынок технологий Deep Packet Inspection (DPI) ждет бурный рост

ƒневник

ѕ€тница, 02 »юл€ 2010 г. 14:33 + в цитатник
 ак недавно сообщила исследовательска€ фирма Market Research Media, в ближайшее врем€ технологии глубокой инспекции пакетов (Deep Packet Inspection, DPI) будут очень востребованы в правительственных организаци€х —Ўј. —огласно их данным в 2010 - 2015 годах американское правительство планирует инвестировать примерно 7,2 млрд. USD во внедрение этих технологий дл€ защиты национальной инфраструктуры. ƒанные инвестиции предполагаетс€ делать в рамках программы "Ёйнштейн", которую спонсирует CERT (Computer Emergency Readiness Team). "Ёйнштейн" - это недавно рассекреченна€ программа, св€занна€ с обеспечением компьютерной безопасности, котора€ представл€ет собой набор мер, предназначенных дл€ идентификации, анализа, защиты и активного реагировани€ на кибер-атаки.
ќчевидно, что сегодн€ еще относительно маленький рынок на котором работают несколько небольших компаний, таких как Procera Networks, ждет бурный рост.
Ѕолее подробно с отчетом можно ознакомитьс€:
ќтчет Market Research Media
ѕродукты Procera Networks на сайте Web Control

ћетки:  

 —траницы: [1]