С конца 1980-х годов, когда появились первые концепции межсетевых экранов, по сей день многие поколения механизмов безопасности были включены в решения межсетевых экранов. Начиная с 1990-х годов, особенно во второй половине с популяризацией Интернета, возникли новые проблемы безопасности, требующие, чтобы р брандмауэра были дополнены функциями, отвечающими требованиям защиты в вычислительных средах.

Когда появляется система анализа сетевого трафика (NTA), мы часто слышим один и тот же вопрос: чем NTA отличаются от имеющихся на рынке? В этоешенияй статье рассказано о четырех хорошо известных системах безопасности, которые используют анализ трафика для отслеживания атак, сравнения их производительности, и статистика систем анализа трафика.

Анализатор сетевого трафика или сниффер

Итак, основной обзор систем анализа трафика:

  • системы обнаружения атак: СОВ/СПВ, СОА/СПА, IDS/IPS;
  • межсетевой экран нового поколения (NGFW);
  • глобальный шлюз безопасности (UTM);
  • системы анализа трафика (NTA / NDR).

Чем более популярным становился Интернет, тем больше компаний приходили к онлайн-платформе, что еще более подчеркивало озабоченность и необходимость защиты информации и связи.

IDS/IPS: что это, и что с этим можно делать

Обнаружение вторжений — это процесс мониторинга событий, происходящих в вашей сети, и их анализа на предмет возможных инцидентов, нарушений или неминуемых угроз политикам безопасности. Предотвращение вторжений – это процесс обнаружения вторжений с последующей остановкой обнаруженных инцидентов. Эти меры безопасности доступны в виде систем обнаружения вторжений (IDS) и систем предотвращения вторжений (IPS), которые становятся частью вашей сети.

Типичная бизнес-сеть имеет несколько точек доступа к другим сетям, как общедоступным, так и частным. Задача состоит в том, чтобы поддерживать безопасность этих сетей, сохраняя при этом их открытость для клиентов. В настоящее время атаки настолько изощрены, что могут помешать лучшим системам безопасности, особенно тем, которые все еще работают в предположении, что сети могут быть защищены шифрованием или межсетевыми экранами. К сожалению, одних этих технологий недостаточно для противодействия сегодняшним атакам.

Системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS) постоянно наблюдают за вашей сетью:

  • выявляя возможные инциденты и регистрируя информацию о них;
  • останавливая инциденты и сообщая о них администраторам безопасности.

Кроме того, некоторые сети используют IDS / IPS для выявления проблем с политиками безопасности и удержания людей от нарушения политик безопасности. IDS / IPS стали необходимым дополнением к инфраструктуре безопасности большинства организаций именно потому, что они могут остановить злоумышленников, пока они собирают информацию о вашей сети.

Межсетевой экран нового поколения (NGFW)

Межсетевой экран нового поколения (NGFW) был разработан с целью, устранить недостаток производительности, о котором сообщают UTM, обеспечивая функции управления приложениями и глубокую проверку пакетов в высокопроизводительной и целостной архитектуре.

Дополнительные функции, такие как веб-прокси, защита от вирусов и вредоносных программ и другие, присутствующие в UTM Firewall, не являются частью архитектуры NGFW, поскольку эти функции были удалены и переданы на аутсорсинг, что обеспечивает высокую степень масштабируемости для больших сред.

Основной вклад NGFW заключается в технологическом прогрессе, достигнутом благодаря глубокой проверке пакетов и видимости приложений, независимо от протоколов и портов. Вместе эти функции не только позволяют избежать атак, но и создают более динамичные и эффективные политики управления доступом для решения сегодняшних проблем безопасности.

Межсетевые экраны следующего поколения (NGFW) — это межсетевые экраны для глубокой проверки пакетов, которые выходят за рамки проверки и блокировки портов или протоколов и позволяют добавлять проверку на уровне приложений, предотвращение вторжений и извлечение информации из-за пределов межсетевого экрана. NGFW не следует путать с автономной системой предотвращения вторжений в сеть (IPS), которая включает в себя стандартный или некоммерческий брандмауэр, или брандмауэр и IPS в одном устройстве, которые не тесно интегрированы.

Основные различия между межсетевыми экранами UTM и NGFW

Хотя концепции имеют существенные различия, все же есть некоторые трудности в их понимании. Многие авторы и поставщики утверждают, что в настоящее время на практике нет разницы между этими двумя типами продуктов. Это связано с тем, что основная проблема UTM для больших сред была решена с развитием разработанной технологии.

Некоторые лица, формирующие общественное мнение, утверждают, что NGFW подходит для сред с высокой интенсивностью трафика, особенно для сложных предприятий, телекоммуникаций и других, которые централизуют большой объем трафика данных. Более того, в этих случаях разделение активов безопасности имеет решающее значение для масштабируемости и устойчивости среды. Таким образом, межсетевой экран UTM рекомендуется для малого и среднего бизнеса (SMB), в котором поток данных ниже.

Независимо от используемого термина и размера компании, наиболее важным моментом, который необходимо проанализировать в процессе покупки решения для обеспечения безопасности периметра, является то, соответствуют ли предлагаемые ресурсы функциональным требованиям и требованиям к росту среды, что является наиболее актуальным, также независимо от используемой концепции (UTM или NGFW).

Другой фундаментальный аспект — это анализ технологии, используемой для реализации функций UTM Firewall и NGFW. Фактически, оба они внесли большой вклад в рынок безопасности нескольких производителей. Другие, однако, только пытались изменить свою номенклатуру, фактически не добавляя технологии к продуктам, поставляемым на рынок.

NTA и NDR - система анализа трафика

Организации, стремящиеся упреждающе выявлять киберугрозы и реагировать на них с целью снижения рисков безопасности, стремятся развернуть передовые решения для обнаружения и реагирования на сети (NDR).

Эта новая категория продуктов берет свое начало в обнаружении сетевых вторжений, поиске сетевых угроз и расследовании инцидентов. В последние месяцы исследовательская компания приняла эту терминологию, отказавшись от ранее использовавшегося термина «Анализ сетевого трафика» или NTA. Означает ли это, что NTA непригоден? Нет.

Networktrafficanalysis NTA — это процесс перехвата, записи и анализа схем обмена сетевым трафиком как средство обнаружения угроз безопасности и реагирования на них.

Интересно, что такие технологии, как NTA, управление цифровыми рисками, безопасный доступ к услугам и доступ к сети с нулевым доверием, становятся критически важными потребностями для организации. Поэтому нужно всегда вести учет трафика.

Эти потребности обусловлены новой рабочей средой, которая включает более широкое внедрение цифровых технологий для поддержки большой базы сотрудников, работающих на дому.

Тестируйте ИКС бесплатно 14 дней

Интернет Контроль Сервер и его возможности в защите сервера

«ИКС Сервер» — это комплексное решение для защиты локальных сетей от возможного взлома. Включает в себя:

  • межсетевой экран;
  • антивирусное ПО (ClamAV, Kaspersky);
  • IDS/IPS;
  • интегрированный VPN;
  • пакет для дистанционного контроля безопасности (контроль приложений, layer-фильтрация, доступ через авторизацию по IP или MAC-адресу);
  • набор сервисов для журналирования работы сети (с конструктором отчетов).

В ИКС также интегрирован NDR для анализа трафика (на уровне пакетов, с поддержкой шифрования), WAF для защиты серверных веб-приложений.

Преимущества «ИКС Сервер» перед другими решениями для обеспечения сетевой безопасности:

  • используются самые передовые алгоритмы обнаружения атак, уязвимостей с эффективной системой защиты;
  • низкие аппаратные требования для шлюза (для обслуживания 50 клиентов достаточно компьютера с Pentium N3150 и 4 гигабайта ОЗУ);
  • предусмотрена возможность получения доступа к узлам локальной сети из любой точки мира через интегрированный
  • многоуровневый VPN.

А для тестирования ИКС разработчиком предоставлена полнофункциональная демоверсия программного комплекса (14 дней). То есть до его интеграции в локальную сеть есть возможность убедиться в её функциональности и эффективности.