Относительно недавно на рынке появились решения, позволяющие осуществлять комплексный анализ сетевого трафика и мониторинг угроз информационной безопасности в корпоративных вычислительных сетях различного масштаба и сложности. Лидером на рынке решений этого класса является система Arbor Pravail NSI (ранее была известна под названием Arbor Peakflow X), которая предназначена для:
- анализа сетевого трафика с целью выявления характера и эффективности использования каналов связи, подключений к различным сетям и ресурсам;
- анализа сетевого трафика с целью определения угроз информационной безопасности, подозрительной и/или несанкционированной активности пользователей и компьютеров.
Решение имеет двухуровневую архитектуру – контроллер и различные типы коллекторов. Коллекторы получают информацию о трафике с сетевого оборудования с использованием технологий flow-экспорта (например, netflow, cflow, jflow и т.д.) и traffic mirror (например, span-порты на коммутаторах или сетевые разветвлители), выполняют первичную обработку этой информации и передают необходимые сведения в формате Arborflow на контроллер. Контроллер является центром управления и мониторинга.
Ключевые отличия системы данного класса от классических IPS-систем и систем сбора статистики о трафике:
- осуществляется сигнатурный анализ трафика и анализ поведения и аномалий;
- использование в качестве источника информации о трафике flow-экспорта, получаемого от маршрутизаторов и коммутаторов сети, обеспечивает высокую масштабируемость решения и возможность мониторинга всей сети, даже в самых отдалённых её участках;
- обрабатывается и анализируется весь трафик, а не только та его часть, которая вызывает подозрение;
- представление подробной картины о структуре трафика сети с точки зрения используемых сервисов и приложений, широкие возможности для оптимизации использования сетевых ресурсов;
- предоставление подробных данных для проведения расследования инцидентов и/или служебного расследования;
- широкие возможности по генерации отчетов в различных форматах (XLS, PDF, CSV).
Основные функции Arbor Pravail NSI
- выявление, анализ и обработку данных о сетевой активности пользователей корпоративной сети:
- определение наиболее активных пользователей - сетевых клиентов;
- определение наиболее активно используемых серверов корпоративной сети;
- определение наиболее активно используемых в корпоративной сети сетевых приложений;
- определение других статистических данных по сетевой активности в корпоративной сети;
- предоставление количественных данных, в том числе об объемах потребленного трафика, для приведенных выше типов запросов;
- выявление, анализ и обработку данных об использовании пользователями web-ориентированных протоколов:
- определение доменных имен и URL наиболее часто используемых ресурсов;
- определение пользователей, наиболее часто обращающихся к различным ресурсам, в том числе к конкретным ресурсам с определенными URL;
- анализ типа контента http-страниц, к которым обращаются пользователи;
- выявление, анализ и обработку данных об использовании пользователями корпоративной сети протоколов и приложений P2P и instant messaging;
- выявление подозрительной и опасной активности пользователей - такой, как участие в botnet-сетях, обращение к фишинговым серверам, и другой опасной активности.
Результат применения решения
- полный мониторинг корпоративной сети и каналов связи как с точки зрения информационной безопасности, так и с точки зрения характера и эффективности использования сетевого трафика;
- получение полной картины о работе пользователей в сети, статистики по сетевому трафику;
- обнаружение несанкционированной и опасной сетевой активности;
- уменьшение рисков, связанных с различными атаками в сети, в том числе с фишинговыми атаками, с использованием ботнетов и т.д.
Предлагаемые решения
Компания «Микротест» предлагает вам максимально полный набор услуг, направленных на проектирование и внедрение систем комплексного мониторинга трафика и угроз информационной безопасности на платформе Arbor Pravail NSI.
Примеры реализованных проектов
- Создание системы мониторинга трафика и защиты от DDoS-атак в сети оператора связи
- Создание МСС и системы защиты периметра информационной системы для «СО ЕЭС»
Тел: +7(495) 787-20-58; электронная почта: security@microtest.ru.