Анализ сетевого трафика и угроз ИБ (Traffic and Network Security Monitor)

Относительно недавно на рынке появились решения, позволяющие осуществлять комплексный анализ сетевого трафика и мониторинг угроз информационной безопасности в корпоративных вычислительных сетях различного масштаба и сложности. Лидером на рынке решений этого класса является система Arbor Pravail NSI (ранее была известна под названием Arbor Peakflow X), которая предназначена для:

• анализа сетевого трафика с целью выявления характера и эффективности использования каналов связи, подключений к различным сетям и ресурсам;
• анализа сетевого трафика с целью определения угроз информационной безопасности, подозрительной и/или несанкционированной активности пользователей и компьютеров.

Решение имеет двухуровневую архитектуру – контроллер и различные типы коллекторов. Коллекторы получают информацию о трафике с сетевого оборудования с использованием технологий flow-экспорта (например, netflow, cflow, jflow и т.д.) и traffic mirror (например, span-порты на коммутаторах или сетевые разветвлители), выполняют первичную обработку этой информации и передают необходимые сведения в формате Arborflow на контроллер. Контроллер является центром управления и мониторинга.

Ключевые отличия системы данного класса от классических IPS-систем и систем сбора статистики о трафике:

• осуществляется сигнатурный анализ трафика и анализ поведения и аномалий;
• использование в качестве источника информации о трафике flow-экспорта, получаемого от маршрутизаторов и коммутаторов сети, обеспечивает высокую масштабируемость решения и возможность мониторинга всей сети, даже в самых отдалённых её участках;
• обрабатывается и анализируется весь трафик, а не только та его часть, которая вызывает подозрение;
• представление подробной картины о структуре трафика сети с точки зрения используемых сервисов и приложений, широкие возможности для оптимизации использования сетевых ресурсов;
• предоставление подробных данных для проведения расследования инцидентов и/или служебного расследования;
• широкие возможности по генерации отчетов в различных форматах (XLS, PDF, CSV).

Основные функции Arbor Pravail NSI

• выявление, анализ и обработку данных о сетевой активности пользователей корпоративной сети:
  • определение наиболее активных пользователей - сетевых клиентов;
  • определение наиболее активно используемых серверов корпоративной сети;
  • определение наиболее активно используемых в корпоративной сети сетевых приложений;
  • определение других статистических данных по сетевой активности в корпоративной сети;
  • предоставление количественных данных, в том числе об объемах потребленного трафика, для приведенных выше типов запросов;
• выявление, анализ и обработку данных об использовании пользователями web-ориентированных протоколов:
  • определение доменных имен и URL наиболее часто используемых ресурсов;
  • определение пользователей, наиболее часто обращающихся к различным ресурсам, в том числе к конкретным ресурсам с определенными URL;
  • анализ типа контента http-страниц, к которым обращаются пользователи;
• выявление, анализ и обработку данных об использовании пользователями корпоративной сети протоколов и приложений P2P и instant messaging;
• выявление подозрительной и опасной активности пользователей - такой, как участие в botnet-сетях, обращение к фишинговым серверам, и другой опасной активности.

Результат применения решения

• полный мониторинг корпоративной сети и каналов связи как с точки зрения информационной безопасности, так и с точки зрения характера и эффективности использования сетевого трафика;
• получение полной картины о работе пользователей в сети, статистики по сетевому трафику;
• обнаружение несанкционированной и опасной сетевой активности;
• уменьшение рисков, связанных с различными атаками в сети, в том числе с фишинговыми атаками, с использованием ботнетов и т.д.

Предлагаемые решения

Компания «Микротест» предлагает вам максимально полный набор услуг, направленных на проектирование и внедрение систем комплексного мониторинга трафика и угроз информационной безопасности на платформе Arbor Pravail NSI.

• Arbor Networks;

Примеры реализованных проектов

• Создание системы мониторинга трафика и защиты от DDoS-атак в сети оператора связи
• Создание МСС и системы защиты периметра информационной системы для «СО ЕЭС»