СВІТ IT

Proventia Network Anomaly Detection System

В сучасних інформаційних системах застосовується широкий спектр засобів захисту: міжмережеві екрани, антивірусні засоби, системи виявлення і запобігання атакам. За допомогою цих традиційних засобів забезпечується захист периметру, робочих станцій та серверів. Але інформаційні мережі продовжують зазнавати деструктивного впливу від шпигунського програмного забезпечення, phishing/pharming, botnet-мереж, мережевих червів, зловживань і викрадення інформації внутрішніми зловмисниками. Сумнозвісним фактом є те, що традиційні засоби захисту можуть перешкоджати лише шаблонним загрозам. Встановлення засобів захисту на кожному з компонентів мережі не вирішить проблему: захист перетвориться у сукупність розрізнених сегментів і вузлів мережі. Адміністратор в такому випадку не буде мати уявлення ні про стан мережі ні про стан безпеки. В той же час зловмисники, здебільшого внутрішні, використовують нестандартні методи проникнення, легальні сервіси і процедури, тому під загрозою опиняється конфіденційність і цілісність усієї інформації, що циркулює в мережі. Число внутрішніх зловживань та злочинів в інформаційних системах значно перевищує число вторгнень із-зовні. Виявити внутрішнього зловмисника набагато важче з причин його легального статусу, поінформованості про структуру мережі і систему захисту.

Комп’ютерні мережі динамічно розвиваються. Їх розгалуженість і масштаби постійно зростають з появою віддалених користувачів, бездротового доступу, швидкісних телекомунікаційних каналів. Настає момент, коли фізично стає неможливим керувати безпекою і відстежувати зміни. Спроба вирішувати проблему шляхом встановлення в кожному сегменті засобів захисту (міжмережеві екрани, ІPS) економічно нерентабельна. На певному етапі розвитку постає необхідність шукати рішення у системах, які включають елементи штучного інтелекту і можуть виявляти та блокувати загрози. Тоді в поєднанні з технологіями мержевих екранів і запобігання атакам можна отримати повноцінну систему захисту.

Програмно-апаратні комплекси Proventia Network Anomaly Detection System (ADS) американської компанії Internet Security Systems (ISS) призначені для виявлення аномалій (різних атак, зловмисних або помилкових дій користувачів, активності вірусів і т. і.) у мережевому трафіку.

Принцип дії комплексу базується на виявленні відхилень у трафіку, які супроводжують дії зловмисників, або є результатом виконання шкідливого програмного коду і запобігання деструктивному впливу на мережеві ресурси. Завдяки тому, що Proventia Network ADS збирає інформацію і здійснює активний аудит усіх потоків даних з мережевої інфраструктури і встановлених засобів захисту, одночасно вирішуються дві задачі:

відображення усіх подій мережі в режимі реального часу (характер поточної мережевої взаємодії усіх користувачів, прикладних програм і вузлів);

виявлення і запобігання прихованим загрозам (небезпечний трафік, підозріла активність, порушення політики безпеки і т.і.).

Proventia Network ADS функціонує разом з системами запобігання атакам, системами оцінювання захищеності та іншими технологіями захисту. При функціонуванні системи використовуються лише штатні можливості активного обладнання мережі, без потреби встановлювати додаткове програмне забезпечення. Proventia Network ADS логічно доповнює систему Proventia Network IPS і дає можливість побудувати багаторівневу систему захисту інформації у сучасних корпоративних мережах.

Можливості системи

виявлення і запобігання атакам типу zero-day;

виявлення мережевих червів, атак у внутрішній мережі, зловживань та спроб несанкціонованого отримання інформації внутрішніми зловмисниками і запобігання несанкціонованим діям;

контроль за змінами в налаштуваннях мережі;

розпізнавання аномальних дій користувачів та змін у мережевій взаємодії (спроби анонімного доступу, специфічне використання протоколів обміну файлами і т.і.);

блокування небезпечної мережевої активності і контроль доступу до критичних мережевих ресурсів;

виявлення порушень політики безпеки;

виявлення і запобігання DoS-атак, у тому числі розподілених;

виявлення портів, сервісів і служб, які неавторизовані і не використовуються;

виявлення нових мережевих пристроїв;

мониторинг:
- портів і протоколів, які використовуються;
- нових і неавторизованих прикладних програм і процесів, якщо їх функціонування супроводжується мережевою активністю.

аналіз працездатності мережі (виникнення колізій, контроль пропускної здатності і завантаженості мережі);

переривання зловмисної активності (сканування портів, в тому числі прихованого, виконання шкідливого коду троянських програм, back door, botnet-мереж і т.і.);

реагування на появу зловмисної активності шляхом модифікації списків доступу на комутаторах і маршрутизаторах і генерації правил для міжмережевих екранів;

изоляція зкомпрометованих сегментів и груп користувачів;

надання вичерпної інформації щодо будь-якого мережевого вузла у будь-який момент часу (характеристика вузла, протокол, за яким здійснюється обмін, прикладна програма, що здійснює цей обмін і т.і.).

Основні переваги

реалізація в одному комплексі засобів моніторингу мережі і захисту внутрішніх ресурсів;

функціонування без програмних агентів;

спостереження за мережею і роботою прикладних програм у режимі реального часу;

інтелектуальна інтерпритація потоків даних;

підтримка широкого спектру потокових технологій;

побудова моделі взаємодії компонентів мережі;

використання різних методик аналізу поведінки потоків даних;

можлиість ефективного запобігання різноманітним загрозам;

динамічне оновлення інформації про мережу;

гнучка система генерації звітів;

інтеграція з системами IPS и засобами оцінювання захищеності;

впровадження без внесення змін у топологію мережі;