Появление в 2017-м году продукта Aruba 360 Secure Fabric стало знаковым событием в мире сетевой безопасности. Разработчики Aruba (это подразделение HPE) создали комплексное решение, обеспечивающее всестороннюю защиту корпоративной компьютерной сети от внешних и внутренних угроз.
Aruba 360 Secure Fabric: основные компоненты
Основа Aruba 360 Secure Fabric – защищенная инфраструктура, которая изначально создавалась ради максимальной корпоративной безопасности. Пока контроллеры передают данные на скорости до 100 Гбит/с, трафик анализируется с помощью Deep Packet Inspection (DPI) – технологии сбора статистических данных, проверки и фильтрации сетевых пакетов в зависимости от их содержимого. Расширенную информацию для системы безопасности поставляет протокол Advanced Monitoring (AMON), который используется для отправки больших объемов данных между контроллерами беспроводной локальной сети и системой управления. Программа Aruba ClearPass отвечает за контроль доступа к защищаемой сетевой инфраструктуре.
Программные решения Aruba для корпоративной безопасность
Традиционные методы защиты не справляются с проблемой
Многие системы, отвечающие за безопасность, – межсетевое сканирование, обработка шифрованного трафика, криптографический аудит – достаточно сложно обойти. Потому злоумышленники выбирают альтернативные пути и атакуют через пользовательские цифровые устройства. Например, сотрудник может зайти на корпоративный портал или в почту через публичную Wi-Fi сеть, оставить незапароленный мобильный гаджет без присмотра. Киберпреступники могут отправить потенциальной жертве сообщение с вредоносным кодом и заразить рабочий компьютер. Особенно уязвимы перед подобными атаками IoT-устройства – их часто используют с настройками «по умолчанию», а те не предполагают расширенного функционала защиты. Нередко слабым звеном становится ПО, которое долго не обновлялось, в то время как разработчики выпустили патчи и ликвидировали уязвимости.
Возникают ситуации, когда сотрудник компании пытается украсть данные для шантажа или чтобы остановить работу предприятия. Нечто подобное мир наблюдал в прошлом году, когда многие крупные структуры, включая государственные, были парализованы из-за программ-вымогателей WannaCry и Pyetya.
До появления вирусных приложений, способных распространяться самостоятельно, существовало три способа заражения с участием человека: через переход по гиперссылке, по e-mail или через физический носитель (например, внешний жесткий диск). Сегодня киберпреступность невозможно представить без приемов социальной инженерии. Аналитики убеждены: в будущем только 26 % проблем можно будет решить стандартными приемами поиска и устранения уязвимостей, 10 % – если применять политику безопасности, еще 4 % зависят от обучения пользователей. Для повышения эффективности следует применять все перечисленные инструменты и привлекать к работе квалифицированных IT-специалистов в области безопасности.
Анализ событий безопасности в реальном времени
Эту задачу решают системы SIEM (security information and event management). Они собирают и анализируют связанные с безопасностью события и формируют подробные отчеты. Но они не гарантируют высоких результатов по двум причинам: высока вероятность ложных срабатываний, а для проработки каждого инцидента требуется много человеческих ресурсов. В компании с доходом менее 100 млн. долларов США это занимает до 10 минут, в корпорации с количеством сотрудников 1000–5000 человек понадобится от 20 до 60 минут. SIEM-система выдает в минуту тысячи оповещений, которые требуют немедленного вмешательства специалиста. Несколько десятков таких инцидентов – и потребуется расширить штат аналитиков, а это не выгодно бизнесу.
Искусственный интеллект в действии
Как отделить реальные угрозы от ложных срабатываний? Здесь и понадобится помощью искусственного интеллекта – такая, как система аналитики поведения Aruba Introspect. Она собирает разноплановую информацию, в том числе с SIEM-систем, и автоматизирует рутинные операции по проверке инцидентов. Опционально ее можно интегрировать с системами контроля доступа к инфраструктуре (NAC).
Aruba Introspect собирает логи DHCP, DNS, Firewall, Proxy, VPN, Flow и Email. Параллельно анализируются DNS-запросы и HTTPS-заголовки файлов и папок, активность облачных приложений, туннельный трафик, обнаруживаются попытки отправки чувствительных данных за периметр безопасности компании. При этом обрабатывается весь сетевой трафик, который поступает из/в сети Интернет через VLAN, и трафик, который передается между пользователями и серверами, хранящими защищенные данные.
Искусственный интеллект на страже корпоративной безопасности
Важным компонентом системы Aruba Introspect является Analyzer – комплексное облачное или одиночное 2RU appliance решение. Оно обрабатывает информацию из логов, пакетных данных и других источников. Эта информация подвергается парсированию, кэшированию, дистиляции и корреляции, после чего система связывает ее с конкретным пользователем. Затем данные направляются в модуль дискретной аналитики, где отсеиваются дискретные алармы – например, неудачные попытки входа в учетную запись. После данные индексируются и отправляются на хранение в БД.
Aruba Introspect объединяет более сотни модулей, которые обнаруживают самые разные атаки, включая подозрительную сетевую активность, подозрительный доступ к аккаунтам, доступ к данным через VPN, анализ DNS-данных и email-сообщений. На основе найденных аномалий и с помощью модели Hidden Markov Model каждому событию присваивается оценка риска.
Introspect адаптивно обучаемая, то есть результаты работы модуля аналитики регулярно пересматриваются, меняется оценка риска. Другие преимущества системы:
- обработка большого количества типов данных;
- поддержка функции DPI;
- сопоставление событий безопасности с конкретным пользователем (вместо IP-адреса);
- использование Hadoop/Spark без ограничений по кластеризации;
- интеграция с NAC Clearpass;
- независимость от производителя сетевой инфраструктуры.
Система предлагается в двух вариантах: Standard Edition и Advanced Edition.
Возникли вопросы по обеспечению безопасности в корпоративных сетях? Задайте их специалистам компании ITELON.
