Cisco Stealthwatch

Решения Lancope StealthWatch – это NBA-системы (Network Behavior Analysis). Они предназначены для обнаружения аномалий в сети и мониторинга производительности на основе информации о потоках (NetFlow, sFlow), собираемой со всех сетевых устройств, включая компьютеры и виртуальные объекты (например, виртуальные сервера и VPN).

На основе анализа этой информации StealthWatch выявляет разнообразные случаи угроз и нарушений, таких как:

• Несанкционированное проникновение в сеть, пропущенное классическими средствами защиты периметра (IPS/IDS)
• Распространение вирусов, «червей» и шпионского ПО, не обнаруженное штатными антивирусными средствами
• Неправильные действия пользователей (например, открытие сессии P2P, масштабные загрузки с торрент-трекеров, обращение к сегментам сети, к которым нет доступа, попытка доступа к конфиденциальной информации и т.п.)
• Появление в сети новых устройств (хостов) и их «поведение». Так, StealthWatch сможет определить, кто занимается загрузкой большого количества непродуктивного контента, такого как MP3 или видео.
• Ошибки в работе оборудования
• Возникновение в сети «узких» мест и другие возможные нарушения
• Контроль реальных расходов трафика: например, какой хост "съедает" большую часть полосы пропускания и что за данные через него проходят.

Таким образом, применение системы StealthWatch дает возможность установить реальный контроль над действиями пользователей и работой сетевых устройств. Сеть, в которой установлен StealthWatch, - это сеть без «белых пятен» и «черных дыр»: администраторы видят и контролируют все процессы и события, которые в ней происходит.Павел Бобу, Cloud Networks: В 2024 году больше всего запросов было на ИБ-консалтинг 5.2 т

В StealthWatch объединяются все наиболее важные функции безопасности и управления ИТ- и сетевой инфраструктуры: мониторинг сетевых взаимодействий; отслеживание аномалий для анализа поведения сети; обеспечение безопасности путем выявления опасных событий; реагирование на угрозы – блокировка опасных событий; оптимизация и конфигурирование трафика и емкости; отчетность для всех коммуникаций и хостов.

Используя StealthWatch, компании могут снизить затраты, приобретая вместо разрозненных решений одно, и уменьшить, таким образом, общую стоимость управления сетями и их защиты.

В настоящее время решение StealthWatch обеспечивает мониторинг более 45 млн. элементов (хостов) в сетях сотен предприятий и правительственных организаций по всему миру, от крупнейших корпораций и федеральных операторов связи, до предприятий малого и среднего бизнеса.

Существует 10 основных показателей, в которых StealthWatch отличается от большинства решений мониторинга на базе потоков:

1. StealthWatch - давно отлаженный, "устоявшийся" продукт, работающий уже 13 лет.
2. В отличие от большинства потоковых технологий мониторинга, которые разрабатывались для контроля сетевой производительности, а функционал контроля безопасности был добавлен много позже, Lancope фокусировался на сетевой безопасности с первого дня.
3. В отличие от других потоковых технологий, предназначенных в первую очередь для небольших сетевых сред, StealthWatch может очень эффективно и недорого масштабироваться до 120 000 потоков/сек (fps) на коллектор или до 3 млн. fps всего, и защищать даже большие сети.
4. Благодаря комбинации потокового мониторинга и контроля на уровне пакетов, StealthWatch обеспечивает полную прозрачность всей сети, даже для таких сред, как виртуальные или сети 10G.
5. В то время, как большинство систем сбора NetFlow обладают очень ограниченными возможностями анализа, StealthWatch использует мощный поведенческий анализ и функционал глубинного анализа, разработанный для эффективного обнаружения в реальном времени ботнетов, атак типа APT (advanced persistent threats), инсайдерских угроз и других аномалий.
6. StealthWatch имеет продвинутый функционал, включающий способность получения информации о приложениях, идентификации, мобильных устройствах, а также автоматическая приоритезация устройств и упрощение разрешения проблем для широкого ранга сетевых проблем.
7. В дополнение к улучшенным возможностям в области безопасности и производительности, StealthWatch может быть легко расширен для поддержки дополнительных функций, включая Help Desk, планирование емкости, анализ сетевого поведения и т.п.
8. Компания Lancope имеет давно налаженное технологическое партнерство и продуктовую интеграцию с ведущими производителями сетевого оборудования и систем безопасности.
9. StealthWatch может приобретаться как в аппаратной форме, так и в виде виртуального устройства, предоставляя пользователям гибкость выбора во внедрении и структуре обслуживания.
10. Cisco, разработчик NetFlow, использует Lancope как компонент мониторинга на базе потоков для своего решения Cisco Cyber Threat Defense.

Lancope StealthWatch 6.2.2

09.07.2012 года вышло обновление системы StealthWatch - версия 6.2.2. Это обновление применимо ко всем системам 6.2.0 и 6.2.1. Все системы, работающие на версии StealthWatch 6.2.1 должны быть обновлены до версии 6.2.2, по возможности, немедленно.

Технология NAT в свое время была создана для максимизации количества доступных IP-адресов. Однако эта технология, к сожалению, существенно снижает прозрачность сети, поскольку администраторы не могут видеть точно, кто отвечает за проблемы, возникшие в области производительности или безопасности. Сегодня, в эпоху продвинутых и развитых угроз и постоянно эволюционирующей сетевой среды, предприятия уже не могут не обращать внимание на возможные опасности, происходящие от подобных "слепых пятен".

"Сшивка" внешнего интернетовского IP-адреса и внутреннего сетевого адреса пользователя в единую запись, а также дедупликация записей NAT позволяет помочь исключить долговременный разбирательства с целью определения истинного виновника плохого поведения сети. Объединяя эти данные с идентификационной информацией от StealthWatch IDentity или Cisco Identity Services Engine (ISE) можно получить еще более точные данные для анализа проблем в сети.

"Точность определения идентичности пользователя через точки NAT в сети становится критичным фактором для эффективного разрешения проблем безопасности, производительности и тому подобного", - говорит Джо Ягер (Joe Yeager), директор по управлению продуктами компании Lancope. - "Без возможности быстро и точно получать эту информацию, организации очень быстро поймут, что они тратят массу времени, продираясь через log-файлы, либо окажутся в очень серьезной ситуации, которая будет оказывать разрушающее воздействие не только на IT-департамент".

Система StealthWatch собирает и анализирует данные NetFlow, IPFIX и других типов потоковых данных из существующей инфраструктуры для того, чтобы получить новые возможности по решению проблем производительности и безопасности, управлению рисками и обеспечению полной прозрачности всех происходящих событий в сети. Не опираясь на необходимость постоянного обновления сигнатур, система использует сложный поведенческий анализ для обнаружения полного спектра внутренних и внешних угроз, характерных для современных условий, включая проблему zero-day, ботнеты, DDoS, APT (advanced persistent threats) и утечки информации от инсайдеров.

Анализируя свыше 120 тысяч потоков в секунду на один коллектор или около 3 млн. потоков в секунду для всей системы, StealthWatch обеспечивает надежный, оптимальный по цене мониторинг трафика даже для самых больших сетей. Высокоскоростная запись NAT особенно важна сейчас, когда операторы и сервис-провайдеры рассматривают возможности использования NAT операторского класса (CGN) или другим термином - масштабного NAT (large-scale NAT), который позволяет тысячам пользователей совместно использовать один IP-адрес и облегчает возможность "плохим актерам" прятаться за NAT.

Устройство Lancope StealthWatch создает "снимок" (базовую отметку) нормального трафика для каждого сетевого хоста, группы хостов и определяет взаимоотношения между хостами. Подобный подход позволяет StealthWatch сигнализировать при следующих условиях, ассоциирующихся с DDoS:

• Высокий индекс мишени. Каждому хосту присваивается значение, соответствующее уровню подозрительной активности, которая направлена на него. Это позволяет получить список приоритетных активов, которые находятся в максимальной опасности.
• Время отклика сервера. Используя устройства FlowSensor и FlowSensor VE, система StealthWatch может сигнализировать, когда веб-сервер или сервер баз данных начинает захлебываться.
• Количество пакетов в секунду. StealthWatch может отображать чрезмерное количество трафика, направленное на сетевые ресурсы.
• Закупорка интерфейса. Метрики уровня производительности интерфейса постоянно контролируются, обеспечивая просмотр атаки на физическом уровне.
• Максимальное количество обслуживаемых потоков. Каждый сервер создает базовые параметры нормального объема соединений. Когда этот порог преодолевается, оператор StealthWatch получает соответствующий сигнал.
• Максимальное количество получаемых SYN. Когда сервер начинает получать "нездоровое" количество пакетов TCP SYN, можно использовать раннее предупреждение об этом.
• Высокий общий трафик взаимосвязей. Когда создается такое количество HTTP-запросов, которое превышает возможности сервера баз данных, то появляется сигнал о несоответствии взаимного количества запросов-ответов, показывающий проблемы на таком уровне, на котором другие системы борьбы с DDoS не работают.
• Активность нового хоста. Легитимные пользователи веб-сервисов имеют тенденцию к регулярности своих визитов. Атакующие хосты не имеют привычки задерживаться или возвращаться на "место преступления". StealthWatch может различать эти два типа пользователей.
• High Concern Index. Это собственная методика Lancope, которая заключается в том, что такой индекс (показатель) опасности позволяет определять приоритет подозрительной или аномальной активности, проистекающей от хоста. Внешние "агрессоры" вызывают появления сигнала от High Concern Index, когда компьютеры, к которым они хотят подключиться, будут иметь низкий индекс.
• Максимальное количество инициируемых потоков. Зная количество потоков в минуту, которое создает легитимный пользователь при доступе к сервису, StealthWatch будет сигнализировать о хостах, которые будут показывать превышение такой нормы.

2014: StealthWatch 6.5

27 марта 2014 года компания Lancope объявила о выходе новой версии своей платформы мониторинга безопасности на основе анализа поведения сети (Network Behavior Analysis) StealthWatch 6.5.

Описание

Обновленная система представляет расширенные возможности аналитики безопасности для обеспечения беспрецедентного контроля сети и обнаружения угроз. Используя новый интуитивно понятный веб-интерфейс и сложные функции предупреждений, StealthWatch 6.5 облегчает организациям быструю идентификацию и остановку действия продвинутых современных атак, которые проходят сквозь защиту периметра.

Новые возможности

• Панель управления оперативным исследованием сетевой активности и безопасности (The Operational Network & Security Intelligence, ONSI), позволяет системе точно определять "смертельную цепочку" (kill chain) атаки, преобразуя данные о сети и безопасности в действенную информацию для быстрого определения и удаления последствий атаки.
• Новая система предупреждения о накоплении данных определяет, когда внешний хакер или инсайдер начинает переносить данные с критичных мест, таких как файловый сервер или POS-терминалы, тем самым позволяя предотвратить утечки данных.
• Обновления StealthWatch Labs обеспечивают расширенную защиту от основных угроз, предоставляя поведенческие алгоритмы заказчикам в дополнение стандартного цикла обновления продукта.
• Определяемые пользователем критерии угроз, которые позволяют клиентам Lancope еще расширить защиту своей сети путем создания собственных событий и сигналов, основанных на собственных политиках безопасности или специфических угрозах для своей среды.

Дополнительные расширения

• Интуитивно понятный веб-интерфейс предоставляет мощную, простую и элегантную платформу с улучшенной юзабилити.
• Интеграция с Active Directory в пользовательском интерфейсе позволяет получить дополнительные идентификационные подробности пользователей, такие как местонахождение в офисе, контактные данные и должность в компании, что обеспечивает расширенные возможности разрешения проблем.
• Конфигурирование пользовательских приложений позволяет обнаруживать пользовательские приложения в сетевой среде, что облегчает идентификацию аномального трафика.

Система StealthWatch 6.5 доступна. Действующие клиенты Lancope получат новую систему как часть сервиса поддержки.