Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Штучний інтелект на службі безпеки мережі.

2018-09-30
Автор: Телесфера

У 2017 році мережевий підрозділ Aruba компанії Hewlett Packard Enterprise анонсував комплексне рішення по забезпеченню мережевої безпеки Aruba 360 Secure Fabric. Це рішення забезпечує захист корпоративної мережі на 360 градусів від загроз ззовні і всередині мережі в умовах постійно мінливого периметра безпеки, з появою бездротових пристроїв і хмарних сервісів.

Рішення побудоване на базі кількох ключових компонентів. В першу чергу, це захищена інфраструктура якій довіряють. Мережеве обладнання Aruba з самого початку розроблялося з точки зору забезпечення максимальної безпеки. Сучасні контролери можуть забезпечити високошвидкісну (до 100 Гбіт/с) обробку міжмережевого трафіку з урахуванням функції Deep packet inspection (DPI). З цим пов'язана і поява спеціалізованого протоколу Advanced Monitoring (AMON), який призначений для передачі великого обсягу різноманітної інформації між контролерами БЛВС і системою управління і служить додатковим джерелом інформації для систем безпеки.

Наступним компонентом фабрики Aruba 360 служить система контролю доступу до інфраструктури Aruba ClearPass, яка відноситься до сімейства програмних продуктів із загальною назвою Network Access Control (NAC). Почнемо з розгляду того, чому в сучасних умовах неможливо покладатися виключно на периметр безпеки мережі і звідки виникає потреба в SIEM-системах.

Периметр безпеки будується на базі глибокої інтеграції партнерських рішень, розташованих на стику з незахищеними мережами і сегментом DMZ. Це пристрої, що забезпечують міжмережеве екранування, сигнатурний аналіз даних, роботу з шифрованим трафіком, криптографічний аудит і т.д.

Зловмисникам важко подолати перераховані вище класичні системи безпеки, що охороняють периметр корпоративних мереж, тому часто для атак вони обирають інший підхід. Атака може бути побудована на основі впровадження і поширення шкідливого коду через обладнання співробітників компанії. Легітимний користувач може втратити або залишити без нагляду свій корпоративний пристрій, підключатися до небезпечних публічних мереж WiFi. Іншим поширеним варіантом створення відправної точки для атаки є відсилання користувачеві помилкового посилання або відправлення йому шкідливого поштового вкладення, що дозволяє згодом впровадити шкідливий код на комп'ютер легітимного користувача. Останнім часом все частіше ми бачимо приклади шкідливих дій за допомогою IoT пристроїв, основними слабкими місцями яких є настройки "за замовчуванням" і старе ПЗ з широко відомими уразливостями (наприклад, навряд чи хтось встановлює патчі на IP камери під управлінням Windows 95 або MS DOS).

Іноді і співробітник організації може стати зловмисником і почати збирати цінні корпоративні дані з метою шантажу або отримання комерційної вигоди. У минулому році активне поширення отримали програми-вимагачі типу WannaCry і Pyetya. До появи саморозповсюджуючихся програм-вимагачів шкідливе ПЗ поширювалося трьома способами: через завантаження з сайтів, по електронній пошті або з фізичних носіїв, наприклад з шкідливих USB-пристроїв. Тому для того, щоб інфікувати пристрій або систему програмою-здирником, в тій чи іншій мірі була потрібна участь людини.

Зловмисники навчилися використовувати прийоми соціальної інженерії і надалі ці навички будуть тільки вдосконалюватися. Відповідно до звітів аналітиків, якщо організація буде покладатися тільки на технології усунення вразливостей безпеки, це дозволить вирішити лише 26% проблем. Якщо організації використовуватимуть тільки політики для вирішення проблем безпеки, це дозволить усунути лише 10% проблем; а якщо вони будуть використовувати тільки навчання користувачів - лише 4%. Тому необхідно контролювати всі три аспекти безпеки в сукупності. Додамо до цього гостру нестачу кваліфікованого IT-персоналу, здатного в найкоротші терміни обробити інформацію про мережеві події і винести однозначно правильний вердикт про стан безпеки.

На допомогу в цьому випадку можуть прийти так звані SIEM (security information and event management) системи, покликані збирати велику різноманітність інформаційних подій безпеки і допомагати центрам мережевої безпеки (SOC) аналізувати події, будувати звіти. Але і вони, як виявилося, не можуть дати всієї повноти картини зважаючи трудомісткості обробки інформації людиною і велику кількість помилкових спрацьовувань. Згідно з аналітичним звітам для малих компаній з доходом менше $ 100 млн розслідування інциденту займає близько 10 хв. У компаніях з числом співробітників з 1001 до 5000, у 26 компаній з 85 опитаних, час розслідування інциденту може займати від 20 хвилин до години. Ключові висновки з цієї статистики можуть полягати в тому, що якщо кожен аналітик буде витрачати стільки свого робочого часу на розслідування інциденту безпеки, а таких інцидентів може бути від 10 і більше, то робота з розслідування інцидентів з безпеки може вичерпати всі доступні людські ресурси персоналу.

Згідно з тим же звітом, SIEM системи можуть генерувати до 10 000 подій в хвилину, які включають помилкові спрацьовування і іноді вимагають негайного аналізу персоналу. Відділення сигналу від шуму - це не порожні слова в разі SIEM систем. У цьому випадку на допомогу відділам безпеки можуть прийти системи зі штучним інтелектом. Далі буде!

Джерело: https://habr.com/company/hpe/blog


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Налаштування QoS на пограничному маршрутизаторі Cisco

Налаштування QoS на пограничному маршрутизаторі Cisco
cisco,router,Налаштування,QoS,Налаштування Cisco

Пограничний маршрутизатор в мережі офісу це точка, де вирішується доля всього мережевого трафіку, що прямує в Інтернет. Саме пограничний маршрутизатор вирішує, який трафік надіслати без затримок, а який притримати і пропустити потім.

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).