Для того, чтобы начать защищать данные кредитных карт, администраторы системы безопасности должны сначала определить, где они. Это не так смешно, как кажется - не всегда сотрудники подразделения информационной безопасности знают, где хранится важная информация. Базовым шагом в организации безопасности является необходимость проведения инвентаризации, что и где находится. Когда данные будут правильным образом определены и сегментированы, можно добавить IP-адреса защищаемых машин в в единую группу хостов.

Когда начинается внедрение стратегии сегментирования, должны быть определены политики и принципы взаимоотношения для тех, кто может иметь доступ к данным. Это касается людей и систем. В системе StealthWatch пользователи могут создавать группы хостов для, например, таких участников - POS-терминалы, e-Commerce, бухгалтерия, неавторизованные сегменты, и т.п. Когда группы хостов уже созданы, в StealthWatch может быть сформирована карта взаимоотношений.

На карте вверху можно заметить, что только POS-машины могут иметь доступ к данным банковских карт. Если "дырка" в систем безопасности все таки должна создаваться для обеспечения каких-то бизнес-операций, то эти коммуникации должны быть подробно и тщательно исследованы. StealthWatch может создавать базовые профили для подобных типов взаимоотношений и посылать тревожное сообщение оператору, если возникает аномальное движение трафика.

В нашем примере ни на одной другой линии не должен существовать трафик, включая трафик, отправляемый с POS-терминала на неавторизованный компьютер или в Интернет.

Гистограммы трафика могут создаваться и в обратную сторону, в прошедшее время, на все время существования взаимоотношений хостов, чтобы аудиторы могли убедиться, что не было каких-либо неавторизованных коммуникаций. Как можно видеть ниже на PCI Operational Dashboard, авторизованные коммуникации между POS-терминалами и хранилищем данных кредитных карт постоянно мониторятся на предмет наличия подозрительного или аномального трафика. Отметим, что всеобъемлющая природа мониторинга на базе NetFlow позволяет нам увидеть, что в трех запрещенных взаимоотношениях меры по соблюдению правил эффективны. При этом отмечено нарушение политики из-за трафика, отправляемого из хранилища данных карт в Интернет.

Политики, касающиеся хостов, могут быть сформулированы таким образом, чтобы отсылались тревожные сигналы в случае нарушения правил сегментирования.

Такие сигналы могут отсылаться, когда пользователи стараются обойти механизм корпоративных политик или нарушают политику доступа к защищенным активам. Если созданы сигналы, предупреждающие о попытках создания однонаправленных соединений (один из элементов атак - kill chain), то StealthWatch будет информировать операторов и об этом.

В StealthWatch каждый хост получает гибко настраиваемый индикатор, называемый "индекс цели" (Target Index, TI). Это числовое значение, которое отражает, какой объем подозрительной или аномальной активности направлен на этот хост. TI рассчитывается по определенному алгоритму и увеличивается по мере обработки очередной коммуникации в StealthWatch.

Если защищаемые хосты содержат исключительно важную информацию, то может инициироваться сигнал тревоги "High Target Index", чтобы побудить операторов принять специальные меры для активной защиты. TI может повышаться еще даже на предварительной разведочной фазе начинающейся атаки. Поскольку TI ставится в соответствие хосту-мишени, а не атакующему хосту, то можно будет быстро фиксировать и сложные атаки, которые осуществляются из различных источников, с целью именно скрытия атаки. Уровень толерантности к "плохому поведению" можно сделать очень низким для таких хостов, вследствие как их предсказуемых шаблонов транзакций (в основном для POS), так и высокой важности данных.

Помимо собственно интеллектуального поведенческого анализа на основе NetFlow, в StealthWatch может быть включен и стандартный мониторинг выходящего трафика, для контроля потенциально возможных утечек данных.

Когда обнаруживается нарушение границы, не важно, каким механизмом защиты, StealthWatch обеспечивает запись данных для дальнейшего подробного исследования, которые позволят определить последствия и субъекты атаки.