Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Штучний інтелект на службі безпеки мережі.

2018-09-30
Автор: Телесфера

У 2017 році мережевий підрозділ Aruba компанії Hewlett Packard Enterprise анонсував комплексне рішення по забезпеченню мережевої безпеки Aruba 360 Secure Fabric. Це рішення забезпечує захист корпоративної мережі на 360 градусів від загроз ззовні і всередині мережі в умовах постійно мінливого периметра безпеки, з появою бездротових пристроїв і хмарних сервісів.

Рішення побудоване на базі кількох ключових компонентів. В першу чергу, це захищена інфраструктура якій довіряють. Мережеве обладнання Aruba з самого початку розроблялося з точки зору забезпечення максимальної безпеки. Сучасні контролери можуть забезпечити високошвидкісну (до 100 Гбіт/с) обробку міжмережевого трафіку з урахуванням функції Deep packet inspection (DPI). З цим пов'язана і поява спеціалізованого протоколу Advanced Monitoring (AMON), який призначений для передачі великого обсягу різноманітної інформації між контролерами БЛВС і системою управління і служить додатковим джерелом інформації для систем безпеки.

Наступним компонентом фабрики Aruba 360 служить система контролю доступу до інфраструктури Aruba ClearPass, яка відноситься до сімейства програмних продуктів із загальною назвою Network Access Control (NAC). Почнемо з розгляду того, чому в сучасних умовах неможливо покладатися виключно на периметр безпеки мережі і звідки виникає потреба в SIEM-системах.

Периметр безпеки будується на базі глибокої інтеграції партнерських рішень, розташованих на стику з незахищеними мережами і сегментом DMZ. Це пристрої, що забезпечують міжмережеве екранування, сигнатурний аналіз даних, роботу з шифрованим трафіком, криптографічний аудит і т.д.

Зловмисникам важко подолати перераховані вище класичні системи безпеки, що охороняють периметр корпоративних мереж, тому часто для атак вони обирають інший підхід. Атака може бути побудована на основі впровадження і поширення шкідливого коду через обладнання співробітників компанії. Легітимний користувач може втратити або залишити без нагляду свій корпоративний пристрій, підключатися до небезпечних публічних мереж WiFi. Іншим поширеним варіантом створення відправної точки для атаки є відсилання користувачеві помилкового посилання або відправлення йому шкідливого поштового вкладення, що дозволяє згодом впровадити шкідливий код на комп'ютер легітимного користувача. Останнім часом все частіше ми бачимо приклади шкідливих дій за допомогою IoT пристроїв, основними слабкими місцями яких є настройки "за замовчуванням" і старе ПЗ з широко відомими уразливостями (наприклад, навряд чи хтось встановлює патчі на IP камери під управлінням Windows 95 або MS DOS).

Іноді і співробітник організації може стати зловмисником і почати збирати цінні корпоративні дані з метою шантажу або отримання комерційної вигоди. У минулому році активне поширення отримали програми-вимагачі типу WannaCry і Pyetya. До появи саморозповсюджуючихся програм-вимагачів шкідливе ПЗ поширювалося трьома способами: через завантаження з сайтів, по електронній пошті або з фізичних носіїв, наприклад з шкідливих USB-пристроїв. Тому для того, щоб інфікувати пристрій або систему програмою-здирником, в тій чи іншій мірі була потрібна участь людини.

Зловмисники навчилися використовувати прийоми соціальної інженерії і надалі ці навички будуть тільки вдосконалюватися. Відповідно до звітів аналітиків, якщо організація буде покладатися тільки на технології усунення вразливостей безпеки, це дозволить вирішити лише 26% проблем. Якщо організації використовуватимуть тільки політики для вирішення проблем безпеки, це дозволить усунути лише 10% проблем; а якщо вони будуть використовувати тільки навчання користувачів - лише 4%. Тому необхідно контролювати всі три аспекти безпеки в сукупності. Додамо до цього гостру нестачу кваліфікованого IT-персоналу, здатного в найкоротші терміни обробити інформацію про мережеві події і винести однозначно правильний вердикт про стан безпеки.

На допомогу в цьому випадку можуть прийти так звані SIEM (security information and event management) системи, покликані збирати велику різноманітність інформаційних подій безпеки і допомагати центрам мережевої безпеки (SOC) аналізувати події, будувати звіти. Але і вони, як виявилося, не можуть дати всієї повноти картини зважаючи трудомісткості обробки інформації людиною і велику кількість помилкових спрацьовувань. Згідно з аналітичним звітам для малих компаній з доходом менше $ 100 млн розслідування інциденту займає близько 10 хв. У компаніях з числом співробітників з 1001 до 5000, у 26 компаній з 85 опитаних, час розслідування інциденту може займати від 20 хвилин до години. Ключові висновки з цієї статистики можуть полягати в тому, що якщо кожен аналітик буде витрачати стільки свого робочого часу на розслідування інциденту безпеки, а таких інцидентів може бути від 10 і більше, то робота з розслідування інцидентів з безпеки може вичерпати всі доступні людські ресурси персоналу.

Згідно з тим же звітом, SIEM системи можуть генерувати до 10 000 подій в хвилину, які включають помилкові спрацьовування і іноді вимагають негайного аналізу персоналу. Відділення сигналу від шуму - це не порожні слова в разі SIEM систем. У цьому випадку на допомогу відділам безпеки можуть прийти системи зі штучним інтелектом. Далі буде!

Джерело: https://habr.com/company/hpe/blog


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco допоможе підприємствам активізувати перехід на гібридну модель роботи

Cisco допоможе підприємствам активізувати перехід на гібридну модель роботи
Cisco,cisco безпека,Налаштування Cisco,новини,cisco

Сьогодні всі підприємства змушені адаптуватися до масштабних цифрових трансформацій, що відбулися за останні два роки і докорінно змінили їх технологічні стратегії та характер діяльності, включаючи гібридні хмарні середовища для об'єднання приватних та публічних хмар, штучний інтелект та машинне навчання для прискорення впровадження IoT-рішень, гібридну модель роботи для захищеного підключення всіх працівників та всіх цифрових активів. Успішна організація гібридної роботи не обмежується лише ефективною підтримкою віддалених працівників. Необхідно мати можливість адаптуватися до змін у міру їх виникнення, і це насамперед стосується корпоративних мереж.

Багатофакторна аутентифікація важлива для кіберзахисту як ніколи

Багатофакторна аутентифікація важлива для кіберзахисту як ніколи
Cisco,cisco,cisco безпека,Блог Телесфера,Продуктивність

Група боротьби з кіберзагрозами Cisco Talos Incident Response (CTIR) розповіла про головні події на ринку кібербезпеки в 2021 році. На тлі пандемії, яка спричинила за собою низку специфічних проблем ІБ, фахівцям з ІБ довелося мати справу зі зростаючим колом зловмисників, що промишляють програмами-вимагачами, займаючись при цьому великими інцидентами безпеки, які торкнулися організації по всьому світу.

Cisco розширює можливості комутаторів корпоративного класу для модернізації та захисту критично важливих інфраструктур

Cisco розширює можливості комутаторів корпоративного класу для модернізації та захисту критично важливих інфраструктур
Cisco,Cisco Network,cisco,новини,Налаштування Cisco,Продуктивність

Cisco оголосила про розширення асортименту рішень Cisco Catalyst 9000. Вони створені на базі Cisco Unified Access Data Plane (UADP) ASIC, що дозволить урізноманітнити функціональні можливості для комутації корпоративного рівня в промислових граничних середовищах для галузей, що працюють у складних погодних умовах та підтримують критично важливі інфраструктури, включаючи комунальні служби, нафтогазову промисловість, автомобільний та залізничний транспорт.