Главная » 2014»Март»03 » Защита удаленных сетей от киберугроз. Часть 2.
18:17
Защита удаленных сетей от киберугроз. Часть 2.
Репутация IP-хостов
Сегодня ряд производителей коллекторов NetFlow используют собранные данные для создания репутационных списков. Процесс определения репутации хостов - это процедура, когда каждый час загружается обновленный список известных хостов, с которыми конечные системы сети не имеют права коммуницировать. Обычно это список зараженных хостов, которые известны тем, что посылают вредоносный трафик (например, типа command & control). Для того, чтобы этот список был максимально точным, его обычно обновляют несколько Интернет-провайдеров и правительственных агентств. Репутация хостов (Host Reputation) является также одним из наиболее эффективных методов обнаружения, используемых против продвинутых непрерывных угроз (Advanced Persistent Threats, APT).
"Мы изучали, что NetFlow может сообщить нам о том, кто с кем общается в нашей сети, но как мы можем сказать при этом, кто из них плохой актер? Только путем проверки репутации IP-адресов с обоих концов этого разговора", - говорит Майк Шиффман из Cisco.
В местах, где экспортирующее NetFlow или IPFIX оборудование недоступно, могут устанавливаться недорогие пробы (зонды), которые обеспечат нас нужной информацией. Собирая метрики из каждого угла сети, MSSP могут увеличить свое знание ситуации, что, в свою очередь, позволит принимать быстрые, более информированные решения. Некоторые MSSP внедряют решения распределенного сбора NetFlow, что может быть сравнимо со сбором кленового сиропа ранней весной. Переправляя "сироп" на обрабатывающую фабрику и перерабатывая гигантские объемы его в более управляемые количества, можно использовать эту процедуру для расширения обзорности сети в целях повышения защищенности сети. Лидеры в сфере MSSP утверждают, что, используя потоковые технологии и применяя наработанные решения, они могут существенно улучшить систему безопасности клиентов. Опираясь на NetFlow для обнаружения угроз, можно получить следующие преимущества:
Более быстрое обнаружение: Mean Time To Awareness (MTTA)
Улучшенное время реагирования - повышение уровня внутренней поддержки
Уменьшение среднего времени смягчения последствий (Mean Time To Mitigation, MTTM)
NetFlow в расследовании
Все компании подвергаются атакам каждый день. Как розничный магазин не может остановить круговорот своих товаров, так и самый лучший коллектив в сфере IT-безопасности не может остановить все формы malware, атакующие компанию. Когда происходит проникновение, анализ часто непосредственно включается в обнаружение или в особенности в процедуру расследования и разведки. Отчетность NetFlow может предоставить детальный обзор в графическом виде, который поможет администраторам оценить масштаб инфицирования. Анализ на базе NetFlow после инфицирования - также одна из важных функций MSSP. Поскольку большинство коллекторов NetFlow архивируют данные, эта информация становится исключительно полезной, когда начинается расследование. Она может быть использована для ответа на такие сложные вопросы, как: • Какое поведение компьютеров привело к появлению проблемы? • Кто еще участвовал в проблемных коммуникациях и есть ли в сети еще машины, характеризующиеся аналогичным поведением?
Вывод
Хотя DPI продолжает оставаться основным методом обнаружения APT, потоковые технологии без сомнения являются идеальным дополнительным слоем защиты. Захват пакетов обеспечивает при этому лучшую детализацию, но он часто не может осуществляться на каждом интернет-соединении в каждом удаленном офисе. Анализ потоков позволяет записать весь трафик в каждом месте для каждой сети в любое время подобно тому, как это делает камера службы безопасности в банке. Если трафик проходит внутрь компании, то он почти всегда захватывается и записывается с помощью NetFlow или IPFIX. Более того, возможен и контроль трафика, выходящего наружу из сети компании. Хотя NetFlow и IPFIX добавляют еще один слой защиты, MSSP понимают, что наиболее эффективный метод проактивной защиты - это обучение пользователей. Вот почему некоторые MSSP тратят свои ресурсы на обучение специалистов заказчика таким вещам, как:
Почему они должны точно знать, что используются лучшие методы защиты при перемещении файлов в или из инфраструктуры компании?
Почему мы должны очень осторожно относиться к социальным сетям?
Хотя MSSP могут быть очень хорошей альтернативой найму эксперта по информационной безопасности, тем не менее при выборе партнера спросите его, какие механизмы они используют для исследования угроз. Как они работают с заказчиком, чтобы ослабить влияние проникновений, и какие процессы они используют, для того чтобы определить, как распространилась проблема.
Меню сайта