Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Штучний інтелект на службі безпеки мережі.

2018-09-30
Автор: Телесфера

У 2017 році мережевий підрозділ Aruba компанії Hewlett Packard Enterprise анонсував комплексне рішення по забезпеченню мережевої безпеки Aruba 360 Secure Fabric. Це рішення забезпечує захист корпоративної мережі на 360 градусів від загроз ззовні і всередині мережі в умовах постійно мінливого периметра безпеки, з появою бездротових пристроїв і хмарних сервісів.

Рішення побудоване на базі кількох ключових компонентів. В першу чергу, це захищена інфраструктура якій довіряють. Мережеве обладнання Aruba з самого початку розроблялося з точки зору забезпечення максимальної безпеки. Сучасні контролери можуть забезпечити високошвидкісну (до 100 Гбіт/с) обробку міжмережевого трафіку з урахуванням функції Deep packet inspection (DPI). З цим пов'язана і поява спеціалізованого протоколу Advanced Monitoring (AMON), який призначений для передачі великого обсягу різноманітної інформації між контролерами БЛВС і системою управління і служить додатковим джерелом інформації для систем безпеки.

Наступним компонентом фабрики Aruba 360 служить система контролю доступу до інфраструктури Aruba ClearPass, яка відноситься до сімейства програмних продуктів із загальною назвою Network Access Control (NAC). Почнемо з розгляду того, чому в сучасних умовах неможливо покладатися виключно на периметр безпеки мережі і звідки виникає потреба в SIEM-системах.

Периметр безпеки будується на базі глибокої інтеграції партнерських рішень, розташованих на стику з незахищеними мережами і сегментом DMZ. Це пристрої, що забезпечують міжмережеве екранування, сигнатурний аналіз даних, роботу з шифрованим трафіком, криптографічний аудит і т.д.

Зловмисникам важко подолати перераховані вище класичні системи безпеки, що охороняють периметр корпоративних мереж, тому часто для атак вони обирають інший підхід. Атака може бути побудована на основі впровадження і поширення шкідливого коду через обладнання співробітників компанії. Легітимний користувач може втратити або залишити без нагляду свій корпоративний пристрій, підключатися до небезпечних публічних мереж WiFi. Іншим поширеним варіантом створення відправної точки для атаки є відсилання користувачеві помилкового посилання або відправлення йому шкідливого поштового вкладення, що дозволяє згодом впровадити шкідливий код на комп'ютер легітимного користувача. Останнім часом все частіше ми бачимо приклади шкідливих дій за допомогою IoT пристроїв, основними слабкими місцями яких є настройки "за замовчуванням" і старе ПЗ з широко відомими уразливостями (наприклад, навряд чи хтось встановлює патчі на IP камери під управлінням Windows 95 або MS DOS).

Іноді і співробітник організації може стати зловмисником і почати збирати цінні корпоративні дані з метою шантажу або отримання комерційної вигоди. У минулому році активне поширення отримали програми-вимагачі типу WannaCry і Pyetya. До появи саморозповсюджуючихся програм-вимагачів шкідливе ПЗ поширювалося трьома способами: через завантаження з сайтів, по електронній пошті або з фізичних носіїв, наприклад з шкідливих USB-пристроїв. Тому для того, щоб інфікувати пристрій або систему програмою-здирником, в тій чи іншій мірі була потрібна участь людини.

Зловмисники навчилися використовувати прийоми соціальної інженерії і надалі ці навички будуть тільки вдосконалюватися. Відповідно до звітів аналітиків, якщо організація буде покладатися тільки на технології усунення вразливостей безпеки, це дозволить вирішити лише 26% проблем. Якщо організації використовуватимуть тільки політики для вирішення проблем безпеки, це дозволить усунути лише 10% проблем; а якщо вони будуть використовувати тільки навчання користувачів - лише 4%. Тому необхідно контролювати всі три аспекти безпеки в сукупності. Додамо до цього гостру нестачу кваліфікованого IT-персоналу, здатного в найкоротші терміни обробити інформацію про мережеві події і винести однозначно правильний вердикт про стан безпеки.

На допомогу в цьому випадку можуть прийти так звані SIEM (security information and event management) системи, покликані збирати велику різноманітність інформаційних подій безпеки і допомагати центрам мережевої безпеки (SOC) аналізувати події, будувати звіти. Але і вони, як виявилося, не можуть дати всієї повноти картини зважаючи трудомісткості обробки інформації людиною і велику кількість помилкових спрацьовувань. Згідно з аналітичним звітам для малих компаній з доходом менше $ 100 млн розслідування інциденту займає близько 10 хв. У компаніях з числом співробітників з 1001 до 5000, у 26 компаній з 85 опитаних, час розслідування інциденту може займати від 20 хвилин до години. Ключові висновки з цієї статистики можуть полягати в тому, що якщо кожен аналітик буде витрачати стільки свого робочого часу на розслідування інциденту безпеки, а таких інцидентів може бути від 10 і більше, то робота з розслідування інцидентів з безпеки може вичерпати всі доступні людські ресурси персоналу.

Згідно з тим же звітом, SIEM системи можуть генерувати до 10 000 подій в хвилину, які включають помилкові спрацьовування і іноді вимагають негайного аналізу персоналу. Відділення сигналу від шуму - це не порожні слова в разі SIEM систем. У цьому випадку на допомогу відділам безпеки можуть прийти системи зі штучним інтелектом. Далі буде!

Джерело: https://habr.com/company/hpe/blog


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco VNI: в найближчі п'ять років інтернет-трафік продемонструє вибухове зростання

Cisco VNI: в найближчі п'ять років інтернет-трафік продемонструє вибухове зростання
Cisco,Cisco Network,Cisco Wi-Fi,Wi-Fi,wi-fi,cisco vni,cisco,Налаштування Cisco,новини

У компанії Cisco пророкують, що в найближчі п'ять років через IP буде передано більше даних, ніж за всю попередню історію інтернету. Інтернет складається з тисяч відкритих і приватних мереж, які охопили весь світ. І з моменту зародження інтернету в 1984 році через нього було передано понад 4.7 зетабайтів IP-трафіку. Цей обсяг можна порівняти з передачею за хвилину через світові IP-мережі всіх кінофільмів, знятих за історію людства.

Cisco HyperFlex в дії

Cisco HyperFlex в дії
Cisco,Cisco Network,cisco,cisco безпека,Блог Телесфера,Налаштування Cisco

Cisco HyperFlex - це новітня гіперконвергентна система, яка вирішує проблему високої складності відмовостійких систем ЦОД-ів і корпоративних інфраструктур.

Комутатори Cisco Catalyst 9000 розширять доступність інтенційно-орієнтованих мереж на середні компанії

Комутатори Cisco Catalyst 9000 розширять доступність інтенційно-орієнтованих мереж на середні компанії
Cisco,Cisco Network,cisco,cisco безпека,Налаштування Cisco,новини

Cisco розширила лінійку комутаторів для інтенційно-орієнтованих мереж Catalyst 9000, представлену в минулому році. Нові моделі розширять застосування цих інноваційних мереж на проекти будь-якого масштабу, і більше замовників зможуть отримати побудовані на їх основі більш «розумні», прості і захищені мережі, відзначають в компанії.