Verkkoliikenteen monitorointi

 

Verkkoliikenteen monitorointi

ExtraHop Reveal(x) - Network Detection and Response

SecOPs tiimit työskentelevät tänä päivänä yhä monimutkaisempien hyökkäysten ja haittaohjelmien torjunnan parissa. False positive tapaukset ja ylimääräinen häly työllistävät tekijöitä.  Usein käytössä on useampia työkaluja, joiden avulla ongelmia ja hyökkäyksiä pyritään eliminoimaan.

Reveal(X) on työkalu, joka antaa näkyvyyden koko verkkoliikenteeseen TCP Layer 2-7 tasoille.  Se näkee kaikki liikennettä generoivat laitteet, sovellukset ja käyttäjät. Liikenne ryhmitellään ja sitä analysoidaan koneoppimisen yli 4700 ominaisuuden avulla. 

Intuitiivinen käyttöliittymä antaa työkalut poikkeamien havaitsemiseen ja ohjaa sen syntysijoille. Ongelmaan voidaan tarttua reaaliaikaisesti ja tehokkaasti. Hyökkäyksen onnistuessa tulee GDPR:n mukaan pystyä 72 tunnin sisällä raportoimaan mitä on tapahtunut ja mitä tietoja on viety.

Tietojen hankinta vie aikaa ja resursseja. Usein  logeja joudutaan pyytämään eri tahoilta, kuten esimerksi palvelimien ylläpidosta tai palomuurien-, kuormantasaajien-, tietokantojen-, sovellusten- ja työasemien hallinnoijilta. Pahimmassa tapauksessa osa  näistä voi olla kolmannen osapuolen takana.

Reveal(x) yhdistää SecOps, NetOps ja ITOps tekijät saman näkymän äärelle ja auttaa selvittämään tietoliikenteen ongelmia tai siihen kohdistuvia hyökkäyksiä.

Kuinka ExtraHop Reveal(x) toimii (pähkinänkuoressa)

Kun Reveal(x) järjestelmä asennetaan tietoliikenneverkkoon se alkaa välittömästi keräämään dataa kaikesta liikenteestä jonka se havaitsee.  Järjestelmän keräämää dataa käytetään ns. baseline datan luomiseen, johon koneoppimisen algoritmit jatkossa vertaavat liikennettä. Baseline datan luonti kestää tyypillisesti n. 4 viikkoa. Tässä ajassa järjestelmä on oppinut ymmärtämään mikä on normaalia- ja mikä poikkeavaa liikennettä.

ExtraHop järjestelmän komponentit:

Discovery Appliance (EDA), on laite, joka  passiivisesti kerää verkkoliikenteen dataa "port mirror, network tap tai spanning port" liitännästä ilman käyttäjän tarvetta konfiguroida järjestelmää. 

Explore Appliance (EXA) tallentaa tapahtumat, jotka se saa EDA laitteelta. Käyttäjä näkee liikenteen ja tapahtumat ryhmiteltyinä sekä voi porautua mahdollisiin poikkeamiin käyttöliittymän ohjaavan toiminnon avulla.

Trace Appliance (ETA) kerää tietoliikennepaketteja ja integroituu EDA ja Command Appliance laitteeseen. Käyttäjä voi helposti ladata pakettidatan (pcap) valitsemiensa kriterioiden perusteella tarkasteltavaksi.

Command Appliance (ECA) on keskitetty hallintalaite ympäristöön, jossa on useita EDA, EXA ja ETA laitteita. Command Appliance kerää yhteen tiedot esimerkiksi hajautetuista ympäristöistä, pilviratkaisuista ja etätoimistoista.

Monet verkkoliikenteen analysointiin ja poikkeamien havainnointiin käytettävät järjestelmät saattavat vaatia manuaalista konfigurointityötä. Tänä päivänä yhä harvempi tietoliikenneverkko on stabiili ja muutokset verkkoliikenteeseen edellyttävät muutoksia monitorointijärjestelmiin. Reveal(x) koneoppiminen tunnistaa nämä muutokset automaatisesti ja niihin pystytään reagoimaan helposti ja nopeasti.


ExtraHopin BLOGista (englanniksi) löytyy hyvä kuvaus koneoppimisen hyödyntämisestä poikkeamien havainnointiin.

ExtraHop Reveal(x) - Ominaisuudet


Automaattinen inventaario
Aina ajantasalla oleva inventaario verkon laitteista, liikenteestä, vanhentuneista varmenteista tai heikoista cipher suiteista.
Perfect Forward Secrecy Decryption
SSL ja TLS 1.3 liikenteen tosiaikainen purku antaa näkymän myös salatun liikenteen sisään.
Automaattinen havainnointi
Poikkeavan liikenteen havaitseminen tapahtuu  automaattisesti. Järjestelmä hälyttää ja ohjaa käyttäjää ongelman ytimeen.
Laitteiden ryhmittely
Kun liikennettä generoivat laitteet ryhmitellään automaattisesti, Reveal(x) löytää poikkeamat hyvin vähillä false positive hälytyksillä.
Advanced Machine Learning
Koneoppiminen tapahtuu yli 4700 ominaisuuden avulla, mikä mahdollistaa nopean priorisoinnin ja haitallisen liikenteen havaitsemisen.
Havaintojen torjunta
Reveal(x) ohjaa haitallisen liikenteen lähteelle ja integrointi esim. Phantom tai Palo Alton kanssa helpottaa ongelman eliminointia.


Ota yhteyttä lomakkeen kautta tai soita 010 338 2170

Lisätietoja ExtraHop omilta sivuilta: www.extrahop.com