Мониторинг сетевого трафика
Существуют классы решений, для которых критически важен высокопроизводительный анализ сетевого трафика, среди них:
- DPI (Deep Packet Inspection, глубокий анализ сетевых пакетов) – выполняют низкоуровневый анализ сетевых сессий, выявляя на основании сигнатур известных протоколов и параметров сетевого соединения различные аномалии; при этом DPI-системы работают на низких уровнях сетевой модели, что не позволяет им производить контентного анализа сообщений уровня приложения: системы этого класса не имеют доступа к реально передаваемым данным сообщений (переписка пользователей, файлы и т.д.), зато дает возможность анализировать большие потоки данных (гигабиты в секунду); применяются для идентификации основных типов пользовательских данных, классификации типов трафика, а также для обнаружения сетевых аномалий в целях решения задач QoS/QoE;
- DLP (Data Loss/Leak Prevention, системы “предотвращения” утечек конфиденциальных данных) – извлекают сообщения и файлы из сетевого трафика, затем выполняют контентный анализ извлеченных данных (переписка пользователей, файлы и т.д.), при этом системы такого класса не делают упор на работу с низкоуровневой сетевой информацией, такой как сетевые адреса, порты, протоколы и т.д; применяются для “предотвращения” утечек конфиденциальной информации в организации, борьбы с инсайдерами; также необходимость извлечения пользовательских данных из сетевого трафика не позволяет обрабатывать большие потоки данных, либо требуют для этого много дорогого оборудования;
- SIEM (Security information and event management, управление событиями безопасности) – получают информацию из множества источников, производя корреляцию получаемых данных и отслеживая инциденты в организации; не выполняют контентный анализ и не занимаются анализом сетевых пакетов.
Платформа EtherSensor поможет вам в решении задач всех перечисленных выше типов систем, а именно:
- соберет полную статистику по сетевым соединениям, решая тем самым задачи DPI;
- извлечет сообщения, файлы и все необходимые метаданные, а также проведет их анализ, решая тем самым большую часть задач DLP в реальном времени;
- без коннекторов подготовит для любой SIEM данные о событиях в нужных форматах и в реальном времени согласно указанным политикам безопасности;
- доставит события и/или контент сообщений во все необходимые системы.
Например: EtherSensor перехватит отправленное через Gmail с использованием анонимайзера почтовое сообщение, содержащее во вложении клиентскую базу пользователей, а также 4 неудачных попытки входа в этот Gmail-аккаунт. В итоге DLP-система получит отправляемое сообщение с вложением для более тщательного анализа и последующего хранения инцидента, а SIEM-система получит события о попытках входа в Gmail-аккаунт с указанием на конкретный хост, а также событие инцидента об отправке клиентской базы.
Преимущества платформы EtherSensor
- Без агентов на рабочих станциях
- Высокая производительность позволяет использовать серийное оборудование, в том числе виртуальный сервер, с низкими системными требованиями для анализа больших потоков данных (гигабиты в секунду без потери пакетов)
- Много источников данных, много потребителей данных – один EtherSensor
- Простой и понятный интерфейс позволяет использовать EtherSensor “из коробки” без специальной подготовки
- Гибкая модульная система лицензирования
- Полностью отечественная разработка, доказавшая свою надежность годами безотказной работы