Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Штучний інтелект на службі безпеки мережі.

2018-09-30
Автор: Телесфера

У 2017 році мережевий підрозділ Aruba компанії Hewlett Packard Enterprise анонсував комплексне рішення по забезпеченню мережевої безпеки Aruba 360 Secure Fabric. Це рішення забезпечує захист корпоративної мережі на 360 градусів від загроз ззовні і всередині мережі в умовах постійно мінливого периметра безпеки, з появою бездротових пристроїв і хмарних сервісів.

Рішення побудоване на базі кількох ключових компонентів. В першу чергу, це захищена інфраструктура якій довіряють. Мережеве обладнання Aruba з самого початку розроблялося з точки зору забезпечення максимальної безпеки. Сучасні контролери можуть забезпечити високошвидкісну (до 100 Гбіт/с) обробку міжмережевого трафіку з урахуванням функції Deep packet inspection (DPI). З цим пов'язана і поява спеціалізованого протоколу Advanced Monitoring (AMON), який призначений для передачі великого обсягу різноманітної інформації між контролерами БЛВС і системою управління і служить додатковим джерелом інформації для систем безпеки.

Наступним компонентом фабрики Aruba 360 служить система контролю доступу до інфраструктури Aruba ClearPass, яка відноситься до сімейства програмних продуктів із загальною назвою Network Access Control (NAC). Почнемо з розгляду того, чому в сучасних умовах неможливо покладатися виключно на периметр безпеки мережі і звідки виникає потреба в SIEM-системах.

Периметр безпеки будується на базі глибокої інтеграції партнерських рішень, розташованих на стику з незахищеними мережами і сегментом DMZ. Це пристрої, що забезпечують міжмережеве екранування, сигнатурний аналіз даних, роботу з шифрованим трафіком, криптографічний аудит і т.д.

Зловмисникам важко подолати перераховані вище класичні системи безпеки, що охороняють периметр корпоративних мереж, тому часто для атак вони обирають інший підхід. Атака може бути побудована на основі впровадження і поширення шкідливого коду через обладнання співробітників компанії. Легітимний користувач може втратити або залишити без нагляду свій корпоративний пристрій, підключатися до небезпечних публічних мереж WiFi. Іншим поширеним варіантом створення відправної точки для атаки є відсилання користувачеві помилкового посилання або відправлення йому шкідливого поштового вкладення, що дозволяє згодом впровадити шкідливий код на комп'ютер легітимного користувача. Останнім часом все частіше ми бачимо приклади шкідливих дій за допомогою IoT пристроїв, основними слабкими місцями яких є настройки "за замовчуванням" і старе ПЗ з широко відомими уразливостями (наприклад, навряд чи хтось встановлює патчі на IP камери під управлінням Windows 95 або MS DOS).

Іноді і співробітник організації може стати зловмисником і почати збирати цінні корпоративні дані з метою шантажу або отримання комерційної вигоди. У минулому році активне поширення отримали програми-вимагачі типу WannaCry і Pyetya. До появи саморозповсюджуючихся програм-вимагачів шкідливе ПЗ поширювалося трьома способами: через завантаження з сайтів, по електронній пошті або з фізичних носіїв, наприклад з шкідливих USB-пристроїв. Тому для того, щоб інфікувати пристрій або систему програмою-здирником, в тій чи іншій мірі була потрібна участь людини.

Зловмисники навчилися використовувати прийоми соціальної інженерії і надалі ці навички будуть тільки вдосконалюватися. Відповідно до звітів аналітиків, якщо організація буде покладатися тільки на технології усунення вразливостей безпеки, це дозволить вирішити лише 26% проблем. Якщо організації використовуватимуть тільки політики для вирішення проблем безпеки, це дозволить усунути лише 10% проблем; а якщо вони будуть використовувати тільки навчання користувачів - лише 4%. Тому необхідно контролювати всі три аспекти безпеки в сукупності. Додамо до цього гостру нестачу кваліфікованого IT-персоналу, здатного в найкоротші терміни обробити інформацію про мережеві події і винести однозначно правильний вердикт про стан безпеки.

На допомогу в цьому випадку можуть прийти так звані SIEM (security information and event management) системи, покликані збирати велику різноманітність інформаційних подій безпеки і допомагати центрам мережевої безпеки (SOC) аналізувати події, будувати звіти. Але і вони, як виявилося, не можуть дати всієї повноти картини зважаючи трудомісткості обробки інформації людиною і велику кількість помилкових спрацьовувань. Згідно з аналітичним звітам для малих компаній з доходом менше $ 100 млн розслідування інциденту займає близько 10 хв. У компаніях з числом співробітників з 1001 до 5000, у 26 компаній з 85 опитаних, час розслідування інциденту може займати від 20 хвилин до години. Ключові висновки з цієї статистики можуть полягати в тому, що якщо кожен аналітик буде витрачати стільки свого робочого часу на розслідування інциденту безпеки, а таких інцидентів може бути від 10 і більше, то робота з розслідування інцидентів з безпеки може вичерпати всі доступні людські ресурси персоналу.

Згідно з тим же звітом, SIEM системи можуть генерувати до 10 000 подій в хвилину, які включають помилкові спрацьовування і іноді вимагають негайного аналізу персоналу. Відділення сигналу від шуму - це не порожні слова в разі SIEM систем. У цьому випадку на допомогу відділам безпеки можуть прийти системи зі штучним інтелектом. Далі буде!

Джерело: https://habr.com/company/hpe/blog


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Побудова корпоративних мереж передачі даних

Побудова корпоративних мереж передачі даних
Cisco,Cisco Network,Wi-Fi,Налаштування,Локальні Обчислювальні Мережі,Блог Телесфера,Послуги Телесфера Інтеграція,Телесфера Інтеграція

Корпоративна мережа дозволяє ефективно об'єднати територіально віддалені підрозділи компанії. Що отримає підприємство при створенні корпоративної мережі або об'єднання офісних майданчиків: - єдиний інформаційний простір; - оперативність отримання інформації і можливість формування консолдованих звітів рівня підприємства; - централізація фінансових і інформаційних потоків даних...

Application Centric Infrastructure. Архітектура мережі майбутнього - від міркувань до справи

Application Centric Infrastructure. Архітектура мережі майбутнього - від міркувань до справи
Cisco,Cisco Network,cisco,cisco безпека,Блог Телесфера,Налаштування Cisco,Продуктивність,Телесфера Інтеграція

Останні кілька років Cisco активно просуває нову архітектуру побудови мережі передачі даних в ЦОД - Application Centric Infrastructure (або ACI). Деякі з нею вже знайомі. А хтось навіть встиг впровадити її на своїх підприємствах. Однак для більшості ІТ-фахівців та ІТ-керівників ACI поки є або незрозумілою абревіатурою, або всього лише міркуванням про майбутнє.

Cisco перейде до нових стандартів Wi-Fi 6. Як це вплине на її бізнес

Cisco перейде до нових стандартів Wi-Fi 6. Як це вплине на її бізнес
Cisco,Cisco Network,Wi-Fi,wi-fi,новини,cisco,Налаштування Cisco,Cisco Wi-Fi

Cisco Systems запустить апаратне забезпечення для наступного покоління Wi-Fi. Компанія оновить свій бізнес інфраструктури вартістю в $ 28,2 млрд. Це еволюція Cisco від апаратної моделі до програмної, заявили експерти