Как COVID-19 изменил сферу информационной безопасности

Пандемия пошла на убыль, однако ее результаты, похоже, останутся с нами навсегда. Вслед за резко изменившейся моделью взаимодействия между людьми перестроились кибермошенники. Они сосредоточились на социальной инженерии и атакуют не периметр организаций, а мобильные устройства ее сотрудников. Как отвечают на это специалисты по информационной безопасности, обсудили участники организованной CNews Conferences конференции «Информационная безопасность 2021».

страницы:

Сергей Плотко: Проблемы доставки трафика можно решить при помощи брокера сетевых пакетов

Обеспечение информационной безопасности — одна из самых актуальных проблем для компаний любого масштаба. Какие отечественные средства для этого существуют, рассказал Сергей Плотко, начальник отдела аналитики и интеграции НПП «Цифровые решения».

CNews: Какие проблемы возникают в процессе доставки и видимости сетевого трафика для средств ИБ?

Сергей Плотко: Для захвата и перенаправления сетевого трафика на средства ИБ используются SPAN-порты и ответвители сетевого трафика (Network TAP). Каждый из этих методов имеет свои ограничения и недостатки.

Начнем с того, что количество SPAN-портов ограничено. В таком случае, среди средств ИБ, которым нужна одна и так же копия трафика, возникает конкуренция за использование SPAN-портов. Следующая проблема заключается в том, что SPAN трафик имеет низкий приоритет и при повышении нагрузки на коммутаторе или в сети начинает теряться. Эти проблемы являются критичными, так как значительная часть трафика попросту не доходит до средств ИБ. Использование TAP гарантирует получение полной копии трафика, но и здесь есть ограничение по количеству возможных точек установки TAP в сетевой инфраструктуре.

Что касается видимости сетевого трафика, в современной инфраструктуре применяется многократное тегирование и туннелирование сетевых пакетов по пути их следования, что также усложняет выделение целевого трафика и накладывает дополнительные требования к средствам ИБ по функциональным возможностям и производительности.

CNews: Какие сценарии использования брокера сетевых пакетов существуют?

Сергей Плотко: Брокеры сетевых пакетов применяются для организации доставки трафика из сетевой инфраструктуры на активные или пассивные средства ИБ и мониторинга. Проблемы при доставке трафика решаются следующим образом: брокер сетевых пакетов агрегирует трафик, полученный через TAP, оптимизирует (фильтрует нецелевой трафик, обрезает пакеты или сессии, удаляет или маскирует лишние поля заголовков) и зеркалирует его на средства ИБ для последующей обработки.

Существует несколько возможных сценариев использования брокера сетевых пакетов. Во-первых, это предварительная фильтрация и классификация трафика для эффективного использования средств анализа. Она обеспечивает возможность использования имеющихся средств ИБ при возрастающей нагрузке в сети и оптимизировать затраты при внедрении новых.

Во-вторых, агрегация трафика с различных точек сети и его распределение по средствам анализа. В данном случае брокер сетевых пакетов позволяет повысить количество точек мониторинга и используемых систем ИБ.

В-третьих, масштабирование средств ИБ – обеспечение мониторинга высокоскоростных каналов несколькими одинаковыми средствами анализа. В четвертых, структурирование потоков трафика и повышение удобства их управления — возможность оперативно и удаленно следить за состоянием каналов и переключать потоки между различными сегментами сети и средствами анализа. В реальном применении эти сценарии обычно переплетаются и дополняются другими.

CNews: Каковы преимущества DS Integrity?

Сергей Плотко: Остановимся на трех ключевых преимуществах DS Integrity. Это аппаратная реализация всего функционала, что обеспечивает стабильную производительность и отсутствие потерь трафика. Это широкие возможности по работе с туннелированным трафиком и сохранение целостности сессий даже при фрагментации пакетов. И, конечно, это полностью российская разработка и производство, подтвержденные включением в реестры Минпромторга и Минцифры.





страницы: