NetFlow - это очень важный инструмент для обеспечения реагирования на инциденты, позволяя получить глубокий обзор сетевой активности, которая имеет место в сети организации. NetFlow обладает возможностью собирать концентрированную информацию о сетевом трафике в короткие записи, которые потом могут независимо обрабатываться, обеспечивая создание текущей истории о сетевых соединениях, которая затем может использоваться во время реагирования на инциденты. При этом все еще существуют несколько неверных утверждений о NetFlow, которые требуется объяснить.

Миф № 1.Комплексные атаки не обнаруживаются с помощью NetFlow.

Наоборот, записи NetFlow часто используются для идентификации комплексных атак, позволяя идентифицировать индикаторы заражения в огромных массивах трафика в короткое время. Более того, поскольку технология NetFlow позволяет получить глубинный обзор сети, она может использоваться для поведенческого анализа, идентифицирующего аномальные структуры трафика, глубокого исследования сети, нарушений политики безопасности и многого другого.

Миф № 2. Полный захват пакетов делает использование NetFlow ненужным.

Полный захват пакетов в сети в реальности не является обычной практикой. Сохранение таких записей за большой период времени требует масштабного внедрения проб (зондов) и очень большой емкости хранения информации. Кроме того, анализ таких записей - это очень длительный процесс, в отличие от анализа предварительно обработанных данных NetFlow.

Более того, это не очень хороший вариант, когда решение по захвату пакетов установлено повсюду внутри вашей сети. Лучше, когда это делается на точке доступа, которая существует между сетью и внешним миром. Может и хорошо, когда вы организовали захват пакетов в нескольких местах внутри вашей внутренней среды, но очень сложно захватывать каждый пакет везде.

Миф № 3. NetFlow предоставляет недостаточно информации.

Одна из крупнейших ошибок при реагировании на инциденты связана с невозможностью обеспечить достаточный мониторинг и наблюдение для получения необходимой информации для реагирования. NetFlow записывает каждую коммуникацию всех контролируемых устройств и предоставляет информацию, достаточную для систем реагирования на угрозы. В своей самой базовой конфигурации NetFlow логирует временные метки, IP-адреса источника/приемника, порты и количество обмениваемой информации. Более продвинутые конфигурации могут включать дополнительную информацию, запрошенную системами реагирования на инциденты.

Миф № 4. NetFlow не является приемлемым доказательством.

Специалисты по реагированию на инциденты могут быть спокойны, что записи NetFlow могут быть действительно приняты судом. Эти записи, собираемые в процессе нормального ведения бизнеса, часто являются доказательством как в криминальных, так и гражданских судах. Различные суды регулярно принимают NetFlow в качестве имеющей силу формы доказательства сетевой активности.

Миф № 5. NetFlow отрицательно влияет на производительность.

Когда технология NetFlow первый раз появилась на рынке примерно 15 лет назад, она действительно значительно влияла на потребление ресурсов процессора коммутаторов и маршрутизаторов. Но сегодня NetFlow является одной ключевых возможностей сетевых устройств, которые оптимизированы для осуществления сетевых операций без какого-либо сильного влияния на производительность. Проще говоря, сетевые устройства, работающие на уровне утилизации ниже 50%, при включении NetFlow могут ощутить падение производительности процессора меньшее, чем 2%. С точки зрения полосы пропускания, превышение количества трафика составляет от 0,1% до 0,3% от всего контролируемого трафика.