Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Штучний інтелект на службі безпеки мережі.

2018-09-30
Автор: Телесфера

У 2017 році мережевий підрозділ Aruba компанії Hewlett Packard Enterprise анонсував комплексне рішення по забезпеченню мережевої безпеки Aruba 360 Secure Fabric. Це рішення забезпечує захист корпоративної мережі на 360 градусів від загроз ззовні і всередині мережі в умовах постійно мінливого периметра безпеки, з появою бездротових пристроїв і хмарних сервісів.

Рішення побудоване на базі кількох ключових компонентів. В першу чергу, це захищена інфраструктура якій довіряють. Мережеве обладнання Aruba з самого початку розроблялося з точки зору забезпечення максимальної безпеки. Сучасні контролери можуть забезпечити високошвидкісну (до 100 Гбіт/с) обробку міжмережевого трафіку з урахуванням функції Deep packet inspection (DPI). З цим пов'язана і поява спеціалізованого протоколу Advanced Monitoring (AMON), який призначений для передачі великого обсягу різноманітної інформації між контролерами БЛВС і системою управління і служить додатковим джерелом інформації для систем безпеки.

Наступним компонентом фабрики Aruba 360 служить система контролю доступу до інфраструктури Aruba ClearPass, яка відноситься до сімейства програмних продуктів із загальною назвою Network Access Control (NAC). Почнемо з розгляду того, чому в сучасних умовах неможливо покладатися виключно на периметр безпеки мережі і звідки виникає потреба в SIEM-системах.

Периметр безпеки будується на базі глибокої інтеграції партнерських рішень, розташованих на стику з незахищеними мережами і сегментом DMZ. Це пристрої, що забезпечують міжмережеве екранування, сигнатурний аналіз даних, роботу з шифрованим трафіком, криптографічний аудит і т.д.

Зловмисникам важко подолати перераховані вище класичні системи безпеки, що охороняють периметр корпоративних мереж, тому часто для атак вони обирають інший підхід. Атака може бути побудована на основі впровадження і поширення шкідливого коду через обладнання співробітників компанії. Легітимний користувач може втратити або залишити без нагляду свій корпоративний пристрій, підключатися до небезпечних публічних мереж WiFi. Іншим поширеним варіантом створення відправної точки для атаки є відсилання користувачеві помилкового посилання або відправлення йому шкідливого поштового вкладення, що дозволяє згодом впровадити шкідливий код на комп'ютер легітимного користувача. Останнім часом все частіше ми бачимо приклади шкідливих дій за допомогою IoT пристроїв, основними слабкими місцями яких є настройки "за замовчуванням" і старе ПЗ з широко відомими уразливостями (наприклад, навряд чи хтось встановлює патчі на IP камери під управлінням Windows 95 або MS DOS).

Іноді і співробітник організації може стати зловмисником і почати збирати цінні корпоративні дані з метою шантажу або отримання комерційної вигоди. У минулому році активне поширення отримали програми-вимагачі типу WannaCry і Pyetya. До появи саморозповсюджуючихся програм-вимагачів шкідливе ПЗ поширювалося трьома способами: через завантаження з сайтів, по електронній пошті або з фізичних носіїв, наприклад з шкідливих USB-пристроїв. Тому для того, щоб інфікувати пристрій або систему програмою-здирником, в тій чи іншій мірі була потрібна участь людини.

Зловмисники навчилися використовувати прийоми соціальної інженерії і надалі ці навички будуть тільки вдосконалюватися. Відповідно до звітів аналітиків, якщо організація буде покладатися тільки на технології усунення вразливостей безпеки, це дозволить вирішити лише 26% проблем. Якщо організації використовуватимуть тільки політики для вирішення проблем безпеки, це дозволить усунути лише 10% проблем; а якщо вони будуть використовувати тільки навчання користувачів - лише 4%. Тому необхідно контролювати всі три аспекти безпеки в сукупності. Додамо до цього гостру нестачу кваліфікованого IT-персоналу, здатного в найкоротші терміни обробити інформацію про мережеві події і винести однозначно правильний вердикт про стан безпеки.

На допомогу в цьому випадку можуть прийти так звані SIEM (security information and event management) системи, покликані збирати велику різноманітність інформаційних подій безпеки і допомагати центрам мережевої безпеки (SOC) аналізувати події, будувати звіти. Але і вони, як виявилося, не можуть дати всієї повноти картини зважаючи трудомісткості обробки інформації людиною і велику кількість помилкових спрацьовувань. Згідно з аналітичним звітам для малих компаній з доходом менше $ 100 млн розслідування інциденту займає близько 10 хв. У компаніях з числом співробітників з 1001 до 5000, у 26 компаній з 85 опитаних, час розслідування інциденту може займати від 20 хвилин до години. Ключові висновки з цієї статистики можуть полягати в тому, що якщо кожен аналітик буде витрачати стільки свого робочого часу на розслідування інциденту безпеки, а таких інцидентів може бути від 10 і більше, то робота з розслідування інцидентів з безпеки може вичерпати всі доступні людські ресурси персоналу.

Згідно з тим же звітом, SIEM системи можуть генерувати до 10 000 подій в хвилину, які включають помилкові спрацьовування і іноді вимагають негайного аналізу персоналу. Відділення сигналу від шуму - це не порожні слова в разі SIEM систем. У цьому випадку на допомогу відділам безпеки можуть прийти системи зі штучним інтелектом. Далі буде!

Джерело: https://habr.com/company/hpe/blog


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco оновила рішення для ЦОД

Cisco оновила рішення для ЦОД
Cisco,Cisco Network,ЦОД,Налаштування,Налаштування Cisco,новини,cisco,cisco безпека

В рамках конференції Cisco Live в Барселоні Cisco представила ряд інновацій в області ЦОД, що стосуються мережевої взаємодії, гіперконверегенції, інформаційної безпеки та автоматизації.

GOSINT - open source рішення для управління індикаторами компрометації (IoC)

GOSINT - open source рішення для управління індикаторами компрометації (IoC)
Cisco,Cisco Network,cisco,cisco безпека,Налаштування Cisco,Блог Телесфера

Однією з гарячих тем в кібербезпеці останнім часом стали SOCі (Security Operations Center), які не дуже вдало переводять на російську мову як «центри моніторингу безпеки», применшуючи тим самим одну з важливих функцій SOC, пов'язану з реагуванням на інциденти ІБ.

Aruba анонсує рішення для програмно-визначених WAN-мереж

Aruba анонсує рішення для програмно-визначених WAN-мереж
Aruba Networks,Налаштування Aruba,Налаштування Aruba Instant,новини

Компанія Aruba, що входить до складу Hewlett Packard Enterprise, представила рішення Software-Defined Branch (SD-Branch). Новий підхід, використаний в рішенні, дозволяє клієнтам модернізувати філіальні мережі для впровадження хмарних і мобільних технологій та Інтернету речей.