SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Новые подходы и новые возможности по мониторингу сетевой инфраструктуры

Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
16.05.2022


Руслан Рахметов, Security Vision


Мы живем в мире, где цифровые технологии важны как никогда. Любое новое усовершенствование в ИТ может стать существенным преимуществом для бизнеса, выделить эту компанию на общем фоне и принести большую прибыль. При этом есть сферы ИТ-инфраструктуры, которые из-за огромного legacy, которое накапливалось десятилетиями, развиваются не так быстро, как хотелось бы. В нашей статье мы хотим поговорить про сетевые технологии, а конкретно про инструменты мониторинга сетевой инфраструктуры.


В одной хорошей книжке есть хорошая шутка. Как изменилась консоль управления сетевого оборудования с 1995 года по 2020 год? Раньше подключение к оборудованию происходило по telnet (нешифрованный канал связи), теперь используется ssh (шифрованный канал связи). То есть большая часть сетевого оборудования в больших инфраструктурах управляется через CLI (command line interface – командная строка), что в современном мире выглядит очень странно. Пример CLI сетевого оборудования Cisco представлен на рис. 1.


Рисунок 1


В то время, как для большинства механизмов ИТ существует удобный графический интерфейс. Прогресс обошел стороной эту жизненно важную часть ИТ-инфраструктуры.


Одним из важных аспектов сети является мониторинг, который позволяет отслеживать актуальные параметры роутеров, коммутаторов, межсетевых экранов и т.д. Знание актуальных параметров сетевого оборудования позволяет нам понимать его нагрузку и правильность работы. Эта информация позволяет нам прогнозировать увеличение парка сетевых устройств и определять причины сбоев или «просадок» по производительности.


Рассмотрим, какие механизмы сбора данных с сетевого оборудования есть на текущий момент:

  • SNMP;

  • Syslog;

  • Flows (NetFlow, sFlow и т.д.).


Рассмотрим каждый подробнее.


SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — стандартный интернет-протокол для управления и мониторинга устройств в IP-сетях. Первые официальные документы для SNMP появились в 1988 г., то есть более 30 лет назад. С тех пор появились версии 2 и 3, но при этом до сих пор технология сбора данных не поменялась. Что можно собрать с помощью SNMP - состояние оборудования:

  • Объем трафика в единицу времени;

  • Статус интерфейсов;

  • Задержки при отправке пакетов;

  • Нагрузка на процессор, оперативную память.


Syslog (англ. system log — системный журнал) — стандарт отправки и регистрации сообщений о происходящих в системе событиях (то есть создания событийных журналов), использующийся в компьютерных сетях, работающих по протоколу IP. Продолжительное время syslog использовался без каких-либо формальных спецификаций, из-за чего существовало множество вариантов, несовместимых друг с другом. Первые шаги по решению этой проблемы были предприняты в 2001 году — протокол syslog был описан в RFC 3164, то есть более 20 лет назад. Что можно собрать с помощью syslog - события о работе устройства:

  • Ошибки;

  • Предупреждения;

  • Информационные сообщения;

  • Сообщения для разработчиков.


NetFlow — сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems. Существуют различные вариации данного протокола у других производителей, но состав данных и алгоритмы сбора похожие. NetFlow был разработан для роутеров Cisco в 1996 году, то есть более 25 лет назад. Что можно собрать с помощью NetFlow – информацию о трафике:

  • IP источника;

  • IP получателя;

  • TCP/UDP порт источника;

  • TCP/UDP порт получателя;

  • Исходящий интерфейс сетевого оборудования;

  • Входящий интерфейс сетевого оборудования.


Все вышеперечисленные протоколы были разработаны 20-30 лет назад и проектировались под сетевую инфраструктуру совсем другого масштаба. Чтобы убедиться в этом, рассмотрим достаточно известный закон о скорости интернет-соединения Якоба Нильсена. Согласно этому закону, скорость интернет-соединения увеличивается ежегодно на 50%. Действие закона отслеживалось в период с 1983 по 2014-й г. Точки на графике обозначают различные скорости подключения к интернету. В 1984 экспериментатор использовал старый акустический модем со скоростью 300 бит в секунду, в 1996 подключился к линии ISDN, а в 2014 у него уже был высокоскоростной интернет со скоростью 120 Мбит/с. График представлен на рис. 2.


Рисунок 2


Чтобы добиться такого впечатляющего увеличения скорости, было спроектировано и внедрено огромное количество сетевого оборудования с постоянным увеличением производительности.


Главной особенностью таких сетей с точки зрения мониторинга является тот факт, что они генерируют огромное количество событий. При этом при использовании сама система мониторинга не должна создавать существенную дополнительную нагрузку на сетевое оборудование, которое и так сильно нагружено. Кроме того, сложная сервисная структура с получившими в последние годы широкое распространение overlay-сетями (например, VXLAN, EVPN, L3VPN) не поддерживается классическими протоколами мониторинга. Для мониторинга современного высокопроизводительного сетевого оборудования требуются новые подходы.


Рассмотрим набирающий популярность подход к сбору параметров сетевого оборудования Streaming Telemetry. Данную технологию поддерживают практически все производители современного сетевого оборудования: Cisco, Juniper, Arista (занимает более 70 процентов рынка).


Ключевое отличие между SNMP и Streaming Telemetry заключается в методе сбора данных. SNMP использует pull-модель, а Streaming Telemetry использует push-модель. Система мониторинга, которая работает по протоколу SNMP, получает информацию от сетевого оборудования через запросы, что может занимать от 5 до 10 минут (запрос - ответ), в том время как система мониторинга, которая будет работать с использованием новых возможностей Streaming Telemetry принимает данные по умолчанию без запросов. Такой подход позволяет собирать данные в режиме online, что обеспечивает их актуальность и ценность. Нет задержки в получаемых данных и можно отслеживать изменения в сети. Кроме того, состав получаемых данных значительно расширился, что обеспечивает поддержку overlay-сетей, а также обогащает имеющуюся информацию по ключевым протоколам, в частности bgp и ospf. Пример сравнения частоты сбора данных представлен на рис. 3.


Рисунок 3


На текущий момент системы мониторинга используют SNMP и в промежутках между запросами данных они практически слепы и могут только догадываться о том, что происходит с сетевым оборудованием. Такой временной gap недопустим для качественного сбора данных. Технология Streaming Telemetry позволит провайдерам, ЦОДам и крупным организациям решить назревшую проблему мониторинга.

Практика ИБ Управление ИБ СЗИ

Рекомендуем

Комплексное управление уязвимостями
Комплексное управление уязвимостями
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Геймификация и управление персоналом
Геймификация и управление персоналом
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Модель зрелости SOAR
Модель зрелости SOAR

Рекомендуем

Комплексное управление уязвимостями
Комплексное управление уязвимостями
Data-Centric Audit and Protection (DCAP)
Data-Centric Audit and Protection (DCAP)
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Геймификация и управление персоналом
Геймификация и управление персоналом
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Модель зрелости SOAR
Модель зрелости SOAR

Похожие статьи

Как устроены вредоносные программы
Как устроены вредоносные программы
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Интернет вещей и безопасность
Интернет вещей и безопасность
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Принципы информационной безопасности
Принципы информационной безопасности
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты

Похожие статьи

Как устроены вредоносные программы
Как устроены вредоносные программы
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Интернет вещей и безопасность
Интернет вещей и безопасность
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Принципы информационной безопасности
Принципы информационной безопасности
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты