SlideShare ist ein Scribd-Unternehmen logo
1 von 29
Downloaden Sie, um offline zu lesen
Мартин Шибл
Network Behaviour Analysis
Представитель в России
Новый подход к защите корпоративных сетей
• Чешский вендор инновационных сетевых
продуктов
• Год основания- 2007
• Работа в следующих областях:
 Мониторинг потоков & Анализ поведения сети
 Мониторинг производительности сети и приложений
 Обнаружение и смягчение
последствий DDoS
• Достижения INVEA-TECH
 Признание от Gartner с 2010
 Deloitte CE Technology Fast 50
 Технологическое партнерство:
Cisco, Check Point, Extreme, Radware
INVEA-TECH
Более 900 внедрений в мире
Мониторинг сетевой безопасности
Network Visibility
& Security
Perimeter
security
End point
security
Technology Overview
Мониторинг сетевых потоков и анализ поведения сетей разработаны с целью закрытия
брешей, оставленных традиционными сигнатурными решениями, а также для
повышения уровня прозрачности, видимости сети
IPS vs. NBA (IDS vs. ADS)
NBA (Анализ поведения сети)
• Детектирование изменений
поведения и подозрительного
обмена данными
• Основан на статистическом
анализе IP
• Детектирование АРТ-угроз
(Advanced Persistent Threats), атак
нулевого дня…
• Нет сигнатур
• Анализ LAN, WAN, периметра,
детектирование внутренних угроз
• Эффективен для зашифрованного
трафика
• Пассивен, только информация
для действий в сети
IPS (Система предотвращения
вторжений)
• Детектирование атак основано на
сигнатурном анализе пакетов
• Основана на анализе прикладного
уровня - L7
• Защита от известных угроз, уже
обнаруженных и описанных
• Зависит от образцов в базах
данных вендора
• Работает на сетевом периметре,
неэффективна для внутренних
угроз
• Не может работать с
зашифрованным трафиком
• Может блокировать подозри-
тельный трафик
Signature
detection

Host or
network
level
Behavior
detection

Network
level

Host or
network
level

• Анализ поведения сети , обнаружение аномалий (NBA, NBAD, ADS)
• Gartner и NBA:
 «NBA предоставляет высший уровень прозрачности поведения вашей сети,
выполняя то, что ожидалось от сигнатурных механизмов». Пол Е. Проктор,
вице-президент компании Gartner
 INVEA-TECH признана ведущим производителем средств мониторинга
потоков и анализа поведения сети для любых потребителей
NBA – следующий шаг в обеспечении
безопасности
Анализ Поведения Сети - следующий шаг в обеспечении безопасности сетей
• Инновационное решение для мониторинга сетей с
использованием потоков IP
• На основе NetFlow v5/v9 и технологии IPFIX
• Содержит информацию о том, кто с кем общается, как
долго, по какому протоколу, какой объем трафика
передает и т.д.
• Лучшее соотношение цена/производительность в отрасли
• Решение для сетей всех
размеров
• Исключительные
преимущества для потребителя
• Ваша сеть под контролем!
Решение FlowMon
...Отдел ИБ/Менеджмент...
• Преимущества для отделов ИБ:
 обнаружение внутренних и внешних атак, изменений
поведения в сети
 контроль доступа пользователей к источникам данных
 сравнение политик безопасности в реальной сети
 отслеживание и доказательство инцидентов
 предотвращение утечек информации из компании
• Преимущества для менеджмента:
 сокращение административных и эксплуатационных расходов
на сеть
 статистические данные о сети (таблицы, круговые диаграммы)
 более высокая эффективность работы сотрудников
 проактивный подход: черные списки, белые списки, проактивный
мониторинг
 веб, IM, радио, видео, p2p-сети
FlowMon © INVEA-TECH 2015
FlowMon: Комплексное решение
Преимущества FlowMon
Flow
Monitoring
Network
Security
Monitoring
On Demand
Packet
Capture
Network/
Application
Performance
DDoS
Protection
2013 2014 2015
• Сетевой трафик и мониторинг
производительности следующего
поколения (NetFlow/IPFIX)
 Обеспечение видимости- “глаза” в сетевом трафике
 Экономия времени и средств для сетевых
администраторов
 Быстрый поиск и устранение неисправностей
 Существенное сокращение сетевого внедрения,
эксплуатации и управленческих расходов
Мониторинг
10/1/2015 11© INVEA-TECH 2014
• Отличительная особенность: Анализ
поведения сети (Network Behavior Analysis)
• Сетевая безопасность, анализ поведения
и детектирование аномалий следующего поколения
 Обнаружение и предупреждение об аномальном
поведении
 Отчеты по аномалиям и постоянным угрозам повышенной
сложности
 Обнаружение вторжений и атак, невидимых
стандартными сигнатурными инструментами
Безопасность
10/1/2015 12© INVEA-TECH 2014
• Attacks (port scanning, dictionary attacks,
Denial of Service, Telnet protocol)
• Anomalies in data traffic (DNS, multicast,
non-standard communication)
• Anomalies in device behavior (change of the long-term
behavior profile of a device)
• Unwanted applications (P2P networks, instant
messaging, anonymization services)
• Internal security issues (viruses, spyware, botnets)
• Email traffic (outgoing spam)
• Operational problems (delays, excessive load, the
reverse DNS records, broken updates)
Which incidents does FlowMon ADS
detect?
10/1/2015 13© INVEA-TECH 2014
• Traffic Recorder
 Перехват трафика по требованию (1G/10G/40G)
 Контролирует весь сетевой трафик от уровня 2 до
уровня 7 (хранит трафик в файле PCAP)
 Основан на заданном фильтре (IP, MAC, VLan, …)
 Распределенная архитектура без агента
 Устранение проблем с помощью содержания пакета
• Application Performance Monitoring
 Безагентский мониторинг всех приложении
 Измерение времени отклика и общей
производительности
 Предназначен для HTTP/HTTPS, MSSQL приложений
 Индекс APM- производительность приложений в виде
цифрового значения
 Проблемы выявляются до получения уведомлений от
конечных пользователей
 Определение источников ухудшения доступности
User Perspective
• FlowMon DDos Defender
 Обнаружение и смягчение последствий
волюметрических DDoS атак (flow-based)
 Использование потока данных из любого
источника (роутер, зонд, …)
 Прогнозирование объема трафика с помощью
динамических базовых показателей
 Универсальные сценарии развертывания (простота в
установке):
DDoS attacks
FlowMon DDoS Defender
Standalone
Out-of-band elimination
of DDoS attack
(PBR, BGP)
Scrubbing Center
Компоненты FlowMon
• Датчики FlowMon (Зонды)
 Пассивный источник данных NetFlow
• Коллекторы FlowMon
 NetFlow данные, отчеты, анализ
• FlowMon плагины
 Модули, расширяющие функциональность – ADS
(автоматическое детектирование, анализ поведения)
Развертывание на крупных
предприятиях
• Один зонд FlowMon для каждого участка,
центральный коллектор
 Пассивный мониторинг, простота в установке,
безопасность
• Область мониторинга
 Клиенты - серверы
 Клиенты - WAN
 Сервер - WAN
• Результаты
 Веб-интерфейс
 Оповещения по e-mail
 SIEM (Syslog)
Схемы сбора потоков
Probe on a SPAN port Probe on a TAP Flows from switch/router
Pros • Точность
• Производительность
• Видимость L2/L3/L4/L7
• Same as „on a SPAN“
• Захват всех пакетов
•Разделение RX и TX
• Сразу доступен
• Не требуется
дополнительного HW
• Трафик на интерфейсах
Cons • Ограничение по
мощности
• Нет номера
интерфейса
• Дополнительное
HW
• Обычно неточная
видимость L3/L4
• Влияние на
производительность
Facts • Подходит для
большинства клиентов
• Ограниченное кол-во
SPAN портов
• 2 порта
мониторинга
• Всегда тестировать
перед использованием
Use • Enterprise networks • ISP uplinks, DCs • Branch offices (MPLS, …)
• Производительность & масштабируемость
 Wire-speed NetFlow зонды,
40Г/100Г зонды
 Масштабируемость коллектора
до 250 000 потоков/c на устройстве
Расширенные возможности
 User identity awareness
 Multi-tenancy, RESTful API, BYOD, SaaS
 Видимость L7 (NBAR2), VoIP, HTTP, Country, …
 Мониторинг производительности сети и
сетевых приложении
 Full packet capture (Запис трафика на L7)
Технологическое лидерство
INVEA
© INVEA-TECH 2015
«Решение FlowMon буквально открыло нам глаза на трафик в сети.
Простой и детальный контроль предоставлен для системных
администраторов и менеджеров. Рентабельность составила 150%
за 12 месяцев.”
“FlowMon предупреждает нас о внутренних проблемах и
ежедневных попытках внешних атак.”
“На основе отсканированных и оцененных данных нам удалось
обнаружить компьютеры с опасным поведением в нашей системе.”
“Это позволяет нам обнаруживать и реагировать на неизвестные
или конкретные угрозы. Устройство экономит время наших сетевых
администраторов при выявлении и решении проблем в сети.”
“С автоматическим анализом поведения ,предоставленным
FlowMon ,мы имеем сейчас полный обзор в режиме реального
времени о нападениях и проблемах в нашей сети, и мы можем
очень эффективно решать их.”
Отзывы
© INVEA-TECH 2015
“Теперь мы выполняем законодательные
требования безопасности для мониторинга
сетевого трафика.”
“FlowMon стал важной частью как внутренней
безопасности сети,так и анти-DDOS стратегии. Он
является “глазами” для нашей SIEM.”
“Оптимизация структуры трафика и обнаружения
ошибок помогли нам значительно снизить трафик
в LAN и MPLS сетях , что позволяет экономить
компании тысячи евро каждый месяц”
“Мы ускорили и упростили управление нашей
сетью. В каждый момент времени мы знаем, что
происходит в нашей сети, и мы можем сразу
откликнуться на конкретную ситуацию.”
Отзывы
© INVEA-TECH 2015
Международные провайдеры, операторы и дата-
центры используют FlowMon для отслеживания
трафика, отчетов, биллинга , соответствия или
смягчения DDOS в сетях до 100 Гбит/с
Системные администраторы малых, средних и крупных
предприятий используют FlowMon для эффективного
управления своими сетями
Офицеры безопасности или команды CSIRT/CERT
получили инструмент, который дополняет брандмауэры
и антивирусы и позволяет обнаруживать современные
проблемы безопасности
IT менеджеры измеряют SLA и выгоды от быстрого
обнаружения проблемы в случае нападения или
аномалии трафика. Это положительно влияет на
качество и доступность предоставляемых услуг
Истории успеха
© INVEA-TECH 2015
Лёгкое начало
• Тестовая виртуальная версия FlowMon
• Доступность по запросу (топология сети)
• Лёгкая установка, не оказывает влияния на сеть,
моментальные результаты
• Локальная и удалённая поддержка
• Совместимость с Netflow v5/v9, IPFIX (Cisco), NetStream
(Huawei), jFlow (Juniper), sFlow (HP)
• Возможность бесплатного пилота
FlowMon Interface Demo
Лицензирование зондовТехнологический партнер по высокоскоростным сетям
Решение для безопасности и мониторинга сетей
INVEA-TECH a.s. U Vodarny 2965/2, Brno 616 00, Web: E-mail: Phone: +420 511 205 250
Список моделей зондов FlowMon
Аппаратные устройства
P/N* Модель
Производительность
на порт Мониторинг порт RAID
Тип
диска
CPU** RAM
Удаленный
контроль
Форм-
фактор
Размеры
(В x Ш x Г) см
Вес
(кг)
IFP-1000-CU FlowMon Probe 1000 1,48 млн. пак./с 1 x 10/100/1000 MbE - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05
IFP-2000-CU FlowMon Probe 2000 1,48 млн. пак./с 2 x 10/100/1000 MbE - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05
IFP-4000-CU FlowMon Probe 4000 1,48 млн. пак./с 4 x 10/100/1000 MbE - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05
IFP-4000-SFP FlowMon Probe 4000 SFP 1,48 млн. пак./с 4 x 1Gb Ethernet - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05
IFP-6000-SFP FlowMon Probe 6000 SFP 1,48 млн. пак./с 6 x 1Gb Ethernet - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05
IFP-10000-SFP+ FlowMon Probe 10000 SFP+ 1,5 млн. пак./с 1 x 10Gb Ethernet - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05
IFP-20000-SFP+ FlowMon Probe 20000 SFP+ 1,5 млн. пак./с 2 x 10Gb Ethernet - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05
IFP-40000-SFP+ FlowMon Probe 40000 SFP+ 5 млн. пак./с 4 x 10Gb Ethernet RAID1 2 x SATA 32 32 GB Enterprise 1U 4,3 x 43,4 x 64,2 19,9
IFP-10000PRO-SFP+ FlowMon Probe 10000 Pro SFP+ 14,8 млн. пак./с 1 x 10Gb Ethernet RAID1 2 x SATA 32 32 GB Enterprise 1U 4,3 x 43,4 x 64,2 19,9
IFP-20000PRO-SFP+ FlowMon Probe 20000 Pro SFP+ 14,8 млн. пак./с 2 x 10Gb Ethernet RAID1 2 x SATA 32 32 GB Enterprise 1U 4,3 x 43,4 x 64,2 19,9
IFP-40000PRO-SFP+ FlowMon Probe 40000 Pro SFP+ 14,8 млн. пак./с 4 x 10Gb Ethernet RAID1 2 x SATA 32 32 GB Enterprise 1U 4,3 x 43,4 x 64,2 19,9
IFP-80000PRO-QSFP+ FlowMon Probe 80000 Pro QSFP+
20 млн. пак./с
5 млн. пак./с
2 x 40Gb Ethernet
8 x 10Gb Ethernet
RAID1 2 x SATA 32 32 GB Enterprise 1U 4,3 x 43,4 x 73,2 19,8
IFP-100000PRO-CFP4 FlowMon Probe 100000 Pro CFP4 148,8 млн. пак./с 1 x 100Gb Ethernet RAID1 2 x SATA TBA TBA Enterprise 2U 8,7 x 43,4 x 75,6 31,5
* CU – медный интерфейс мониторинга. Другие интерфейсы предназначены для использования трансивера в соответствии с контролируемой сетью.
** Число ядер процессора с поддержкой Hyper Threading..
Версия Express удаленного контроля включает в себя доступ к командной строке и веб интерфейс для удаленного наблюдения за состоянием устройства. Версия Enterprise удаленного
контроля включает, в том числе, выделенный сетевой интерфейс и виртуальную консоль.
Зонд FlowMon IFP-80000-PRO-QSFP+ не поддерживает корпоративное расширение L7 Invea-Tech (HTTP i, статистику VoIP и другую информацию на уровне L7) и полный захват пакетов с
помощью FlowMon Traffic Recorder в 2 x 40Гб или 8 x 10Гб Ethernet режимах работы. Поддержка этих функций доступна в 1 x 40Гб или 4 x 10Гб Ethernet режимах работы.
Все модели аппаратных зондов FlowMon имеют встроенный коллектор объемом 500 Гб.
Виртуальные устройства
P/N Model
Производительность
на порт
Интерфейсы
мониторинга
VMware ESXi Рекомендуемая конфигурация
IFP-1000-VA FlowMon Probe 1000 VA до 0,3 млн. пак./с 1 x 1Gb Ethernet 4.1 and higher 2 CPU cores, 4 GB RAM, min. 11 GB HDD
IFP-2000-VA FlowMon Probe 2000 VA до 0,3 млн. пак./с 2 x 1Gb Ethernet 4.1 and higher 2 CPU cores, 4 GB RAM, min. 11 GB HDD
IFP-4000-VA FlowMon Probe 4000 VA до 0,3 млн. пак./с 4 x 1Gb Ethernet 4.1 and higher 2 CPU cores, 4 GB RAM, min. 11 GB HDD
IFP-6000-VA FlowMon Probe 6000 VA до 0,3 млн. пак./с 6 x 1Gb Ethernet 4.1 and higher 2 CPU cores, 4 GB RAM, min. 11 GB HDD
IFP-10000-VA FlowMon Probe 10000 VA до 0,7 млн. пак./с 1 x 10Gb Ethernet 4.1 and higher 4 CPU cores, 8 GB RAM, min. 11 GB HDD
IFP-20000-VA FlowMon Probe 20000 VA до 0,7 млн. пак./с 2 x 10Gb Ethernet 4.1 and higher 4 CPU cores, 8 GB RAM, min. 11 GB HDD
Производительность виртуальных зондов FlowMon зависит от выделенных ресурсов, общей нагрузки на систему и среды развертывания.
Valid from 7th April 2015, rev. 4.0
Лицензирование коллекторовТехнологический партнер по высокоскоростным сетям
Решение для безопасности и мониторинга сетей
INVEA-TECH a.s. U Vodarny 2965/2, Brno 616 00,
Czech Republic
Web:
www.invea.com
E-mail:
info@invea.com
Phone: +420 511 205 250
Список моделей коллекторов FlowMon
Аппаратные устройства
P/N Модель
Производительность
(потоков/c)*
Объем
диска
RAID Тип диска CPU** RAM
Удаленный
контроль
Форм
фактор
Размеры
(В x Ш x Г), см
Вес
(кг)
IFC-R5-1000 FlowMon Collector R5-1000 75 000 1 TB SW RAID5 3 x SATA Hot Swap 12 12 GB Express 1U 4,3 x 43,4 x 62,5 19,3
IFC-R5-2000 FlowMon Collector R5-2000 100 000 2 TB SW RAID5 3 x SATA Hot Swap 12 12 GB Express 1U 4,3 x 43,4 x 62,5 19,3
IFC-R5-3000PRO FlowMon Collector R5-3000 Pro 150 000 3 TB HW RAID5 4 x SATA Hot Swap 24 32 GB Enterprise 1U 4,3 x 43,4 x 62,5 19,9
IFC-R5-6000PRO FlowMon Collector R5-6000 Pro 150 000 6 TB HW RAID5 4 x SATA Hot Swap 24 32 GB Enterprise 1U 4,3 x 43,4 x 62,5 19,9
IFC-R6-12000PRO FlowMon Collector R6-12000 Pro 200 000 12 TB HW RAID6 8 x SATA Hot Swap 24 64 GB Enterprise 2U 8,7 x 43,4 x 64,6 28,2
IFC-R6-24000PRO FlowMon Collector R6-24000 Pro 200 000 24 TB HW RAID6 8 x SATA Hot Swap 24 64 GB Enterprise 2U 8,7 x 43,4 x 64,6 28,2
* Максимальная производительность (в потоках/с) может меняться в зависимости от настроек устройства и установленных плагинов.
** Число ядер процессора с поддержкой Hyper Threading.
Версия Express удаленного контроля включает в себя доступ к командной строке и веб интерфейс для удаленного наблюдения за состоянием устройства. Версия Enterprise удаленного
контроля включает, в том числе, выделенный сетевой интерфейс и виртуальную консоль.
Виртуальные устройства
P/N Модель
Производительность
(потоков/с)* Объем диска VMware ESXi Минимальная конфигурация
IFC-500-VA FlowMon Collector 500 Virtual Appliance up to 75 000 0.5 TB 4.1 и выше 2 CPU cores, 4 GB RAM, 500 IOPS
IFC-1000-VA FlowMon Collector 1000 Virtual Appliance up to 75 000 1 TB 4.1 и выше 2 CPU cores, 4 GB RAM, 500 IOPS
IFC-2000-VA FlowMon Collector 2000 Virtual Appliance up to 75 000 2 TB 4.1 и выше 2 CPU cores, 4 GB RAM, 500 IOPS
IFC-3000-VA FlowMon Collector 3000 Virtual Appliance up to 150 000 3 TB 4.1 и выше 4 CPU cores, 8 GB RAM, 1000 IOPS
IFC-6000-VA FlowMon Collector 6000 Virtual Appliance up to 150 000 6 TB 4.1 и выше 4 CPU cores, 8 GB RAM, 1000 IOPS
IFC-12000-VA FlowMon Collector 12000 Virtual Appliance up to 200 000 12 TB 4.1 и выше 8 CPU cores, 16 GB RAM, 2000 IOPS
IFC-24000-VA FlowMon Collector 24000 Virtual Appliance up to 200 000 24 TB 4.1 и выше 8 CPU cores, 16 GB RAM, 2000 IOPS
* Максимальная производительность (в потоках/с) может меняться в зависимости от настроек устройства и установленных плагинов. Максимальная производительность может быть
достигнута за счет выделения достаточного количества аппаратных ресурсов в соответствии с описанием аппаратного коллектора включая достаточную производительность диска.
Коллекторы FlowMon в форме виртуальных устройств включают порта мониторинга, которые позволяют напрямую отслеживать сетевой трафик и генерировать статистику NetFlow/IPFIX
Модели 1U/2U/Virtual Appliance:
Valid from 7th April 2015, rev. 4.0
ADS for SMBs/Enterprises
Lite Standard Business Corporate
Размер сети до 250 ПК 1 000 ПК 5 000 ПК 10 000 ПК
Производитель-
ность, потоков/с
1x100 1x1000 2x2000 3x3000
Поддержка SIEM
(Syslog, SNMP)
NO NO YES YES
Набор функций ограниченный стандартный полный полный
Модули для
сбора &
обработки
данных о потоках
1 1 2 3
• Подробная информация о версии Enterprise и
цены по запросу
ADS for ISPs/DCs/operators
ISP 1 ISP 4 ISP 10 ISP 40
Для полосы
пропускания
1Гбит/с 4Гбит/с 10Гбит/с 40Гбит/с
Производитель-
ность,
потоков/с,
после взятия
проб
1 x 5000 2 x 5000 1 x 10000 2 x 10000
Поддержка
SIEM (Syslog,
SNMP)
Да Да Да Да
Набор функций полный полный полный полный
Модули для
сбора &
обработки
данных о
потоках
1 2 1 2
• Подробная информация о версии ISP100 и цены по запросу
INVEA-TECH a.s.
U Vodárny 2965/2
616 00 Brno, Czech Republic
www.invea.com
High-Speed Networking Technology Partner
Спасибо за внимание!
Мартин Шибл
sibl@invea.com
+7 916 847 3345

Weitere ähnliche Inhalte

Was ist angesagt?

Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Aleksey Lukatskiy
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...Expolink
 
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Компания УЦСБ
 
Сокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовСокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовАльбина Минуллина
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыАйдар Гилязов
 
Тенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасностьТенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасностьAleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информацииАльбина Минуллина
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБAleksey Lukatskiy
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...Expolink
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformАльбина Минуллина
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средЭЛВИС-ПЛЮС
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...Expolink
 

Was ist angesagt? (20)

Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
NSX Security
NSX SecurityNSX Security
NSX Security
 
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
 
Можно ли обмануть DLP
Можно ли обмануть DLPМожно ли обмануть DLP
Можно ли обмануть DLP
 
Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11Arbor, держи марку! Серия №11
Arbor, держи марку! Серия №11
 
Сокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентовСокращаем затраты на обслуживание клиентов
Сокращаем затраты на обслуживание клиентов
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 
PT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объектыPT ISIM. Обнаружение кибератак на промышленные объекты
PT ISIM. Обнаружение кибератак на промышленные объекты
 
Тенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасностьТенденции, влияющие на информационную безопасность
Тенденции, влияющие на информационную безопасность
 
Будущее кибербезопасности
Будущее кибербезопасностиБудущее кибербезопасности
Будущее кибербезопасности
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
Искусственный интеллект на защите информации
Искусственный интеллект на защите информацииИскусственный интеллект на защите информации
Искусственный интеллект на защите информации
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
 
Результаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack PlatformРезультаты пилотов Kaspersky Anti Targeted Attack Platform
Результаты пилотов Kaspersky Anti Targeted Attack Platform
 
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных средПродукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
Продукты и решения ЭЛВИС-ПЛЮС для создания доверенных сред
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 

Andere mochten auch

Организация системы управления сертификатами открытых ключей на основе ПАК «К...
Организация системы управления сертификатами открытых ключей на основе ПАК «К...Организация системы управления сертификатами открытых ключей на основе ПАК «К...
Организация системы управления сертификатами открытых ключей на основе ПАК «К...ЭЛВИС-ПЛЮС
 
Вопросы эффективности DLP-систем
Вопросы эффективности DLP-системВопросы эффективности DLP-систем
Вопросы эффективности DLP-системЭЛВИС-ПЛЮС
 
Можно ли сэкономить, если перенести все функции безопасности в «облако»?
Можно ли сэкономить, если перенести все функции безопасности в «облако»?Можно ли сэкономить, если перенести все функции безопасности в «облако»?
Можно ли сэкономить, если перенести все функции безопасности в «облако»?ЭЛВИС-ПЛЮС
 
Развитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий  в России в условиях курса  на импортозамещениеРазвитие безопасных технологий  в России в условиях курса  на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещениеЭЛВИС-ПЛЮС
 
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга ЭЛВИС-ПЛЮС
 
Решения InfoWatch для контроля информационных потоков
Решения InfoWatch для контроля информационных потоковРешения InfoWatch для контроля информационных потоков
Решения InfoWatch для контроля информационных потоковЭЛВИС-ПЛЮС
 
Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?ЭЛВИС-ПЛЮС
 
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...ЭЛВИС-ПЛЮС
 
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколенияЭЛВИС-ПЛЮС
 

Andere mochten auch (9)

Организация системы управления сертификатами открытых ключей на основе ПАК «К...
Организация системы управления сертификатами открытых ключей на основе ПАК «К...Организация системы управления сертификатами открытых ключей на основе ПАК «К...
Организация системы управления сертификатами открытых ключей на основе ПАК «К...
 
Вопросы эффективности DLP-систем
Вопросы эффективности DLP-системВопросы эффективности DLP-систем
Вопросы эффективности DLP-систем
 
Можно ли сэкономить, если перенести все функции безопасности в «облако»?
Можно ли сэкономить, если перенести все функции безопасности в «облако»?Можно ли сэкономить, если перенести все функции безопасности в «облако»?
Можно ли сэкономить, если перенести все функции безопасности в «облако»?
 
Развитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий  в России в условиях курса  на импортозамещениеРазвитие безопасных технологий  в России в условиях курса  на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещение
 
Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга Инновационные системы безопасности и бизнес-мониторинга
Инновационные системы безопасности и бизнес-мониторинга
 
Решения InfoWatch для контроля информационных потоков
Решения InfoWatch для контроля информационных потоковРешения InfoWatch для контроля информационных потоков
Решения InfoWatch для контроля информационных потоков
 
Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?
 
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
Практика выбора и реализации мер защиты АСУ ТП в соответствии с приказом №31 ...
 
Acronis Защита данных нового поколения
Acronis Защита данных нового поколенияAcronis Защита данных нового поколения
Acronis Защита данных нового поколения
 

Ähnlich wie Network Behaviour Analysis — новый подход к защите корпоративных сетей

рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 
Контроль услуг и приложений в центрах обработки данных нового поколения
Контроль услуг и приложений в центрах обработки данных нового поколенияКонтроль услуг и приложений в центрах обработки данных нового поколения
Контроль услуг и приложений в центрах обработки данных нового поколенияCisco Russia
 
Подходы и современные инструменты мониторинга ИТ-инфраструктуры: от анализа т...
Подходы и современные инструменты мониторинга ИТ-инфраструктуры: от анализа т...Подходы и современные инструменты мониторинга ИТ-инфраструктуры: от анализа т...
Подходы и современные инструменты мониторинга ИТ-инфраструктуры: от анализа т...Cisco Russia
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksКРОК
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраExpolink
 
Мониторинг качества доставки сервисов в корпоративной сети
Мониторинг качества доставки сервисов в корпоративной сетиМониторинг качества доставки сервисов в корпоративной сети
Мониторинг качества доставки сервисов в корпоративной сетиСвязьКомплект
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Обзор решения по управлению унифицированными коммуникациями Cisco
Обзор решения по управлению унифицированными коммуникациями CiscoОбзор решения по управлению унифицированными коммуникациями Cisco
Обзор решения по управлению унифицированными коммуникациями CiscoCisco Russia
 
Решения для мониторинга ИТ-инфраструктуры. Как правильно сделать выбор? Часть 1
Решения для мониторинга ИТ-инфраструктуры.  Как правильно сделать выбор? Часть 1Решения для мониторинга ИТ-инфраструктуры.  Как правильно сделать выбор? Часть 1
Решения для мониторинга ИТ-инфраструктуры. Как правильно сделать выбор? Часть 1СвязьКомплект
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsCisco Russia
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
Импортозамещение. Отечественное ПО на основе сетей нового поколения: SDN&NFV
Импортозамещение. Отечественное ПО на основе сетей нового поколения:  SDN&NFV Импортозамещение. Отечественное ПО на основе сетей нового поколения:  SDN&NFV
Импортозамещение. Отечественное ПО на основе сетей нового поколения: SDN&NFV ARCCN
 
От SS7 к IP — эволюция безопасности сетей связи
От SS7 к IP — эволюция безопасности сетей связиОт SS7 к IP — эволюция безопасности сетей связи
От SS7 к IP — эволюция безопасности сетей связиPositive Hack Days
 
Управление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureУправление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureCisco Russia
 
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасностьNominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасностьМихаил Новиков
 
SDN в корпоративных сетях
SDN в корпоративных сетяхSDN в корпоративных сетях
SDN в корпоративных сетяхCisco Russia
 
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...Cisco Russia
 

Ähnlich wie Network Behaviour Analysis — новый подход к защите корпоративных сетей (20)

рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
 
Контроль услуг и приложений в центрах обработки данных нового поколения
Контроль услуг и приложений в центрах обработки данных нового поколенияКонтроль услуг и приложений в центрах обработки данных нового поколения
Контроль услуг и приложений в центрах обработки данных нового поколения
 
Подходы и современные инструменты мониторинга ИТ-инфраструктуры: от анализа т...
Подходы и современные инструменты мониторинга ИТ-инфраструктуры: от анализа т...Подходы и современные инструменты мониторинга ИТ-инфраструктуры: от анализа т...
Подходы и современные инструменты мониторинга ИТ-инфраструктуры: от анализа т...
 
Межсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto NetworksМежсетевые экраны нового поколения Palo Alto Networks
Межсетевые экраны нового поколения Palo Alto Networks
 
ARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметраARinteg: Защита сетевого периметра
ARinteg: Защита сетевого периметра
 
Мониторинг качества доставки сервисов в корпоративной сети
Мониторинг качества доставки сервисов в корпоративной сетиМониторинг качества доставки сервисов в корпоративной сети
Мониторинг качества доставки сервисов в корпоративной сети
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сети
 
Обзор решения по управлению унифицированными коммуникациями Cisco
Обзор решения по управлению унифицированными коммуникациями CiscoОбзор решения по управлению унифицированными коммуникациями Cisco
Обзор решения по управлению унифицированными коммуникациями Cisco
 
Решения для мониторинга ИТ-инфраструктуры. Как правильно сделать выбор? Часть 1
Решения для мониторинга ИТ-инфраструктуры.  Как правильно сделать выбор? Часть 1Решения для мониторинга ИТ-инфраструктуры.  Как правильно сделать выбор? Часть 1
Решения для мониторинга ИТ-инфраструктуры. Как правильно сделать выбор? Часть 1
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
 
Импортозамещение. Отечественное ПО на основе сетей нового поколения: SDN&NFV
Импортозамещение. Отечественное ПО на основе сетей нового поколения:  SDN&NFV Импортозамещение. Отечественное ПО на основе сетей нового поколения:  SDN&NFV
Импортозамещение. Отечественное ПО на основе сетей нового поколения: SDN&NFV
 
От SS7 к IP — эволюция безопасности сетей связи
От SS7 к IP — эволюция безопасности сетей связиОт SS7 к IP — эволюция безопасности сетей связи
От SS7 к IP — эволюция безопасности сетей связи
 
Управление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime InfrastructureУправление IWAN и AVC с Cisco Prime Infrastructure
Управление IWAN и AVC с Cisco Prime Infrastructure
 
WEBSENSE TRITON APX
WEBSENSE TRITON APX WEBSENSE TRITON APX
WEBSENSE TRITON APX
 
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасностьNominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
Nominum-DNS сервер с функционалом заточенным на повышение продаж и безопасность
 
SDN в корпоративных сетях
SDN в корпоративных сетяхSDN в корпоративных сетях
SDN в корпоративных сетях
 
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
Cisco Intelligent WAN (IWAN) - интеллектуальная распределенная сеть следующег...
 

Network Behaviour Analysis — новый подход к защите корпоративных сетей

  • 1. Мартин Шибл Network Behaviour Analysis Представитель в России Новый подход к защите корпоративных сетей
  • 2. • Чешский вендор инновационных сетевых продуктов • Год основания- 2007 • Работа в следующих областях:  Мониторинг потоков & Анализ поведения сети  Мониторинг производительности сети и приложений  Обнаружение и смягчение последствий DDoS • Достижения INVEA-TECH  Признание от Gartner с 2010  Deloitte CE Technology Fast 50  Технологическое партнерство: Cisco, Check Point, Extreme, Radware INVEA-TECH
  • 4. Мониторинг сетевой безопасности Network Visibility & Security Perimeter security End point security
  • 5. Technology Overview Мониторинг сетевых потоков и анализ поведения сетей разработаны с целью закрытия брешей, оставленных традиционными сигнатурными решениями, а также для повышения уровня прозрачности, видимости сети
  • 6. IPS vs. NBA (IDS vs. ADS) NBA (Анализ поведения сети) • Детектирование изменений поведения и подозрительного обмена данными • Основан на статистическом анализе IP • Детектирование АРТ-угроз (Advanced Persistent Threats), атак нулевого дня… • Нет сигнатур • Анализ LAN, WAN, периметра, детектирование внутренних угроз • Эффективен для зашифрованного трафика • Пассивен, только информация для действий в сети IPS (Система предотвращения вторжений) • Детектирование атак основано на сигнатурном анализе пакетов • Основана на анализе прикладного уровня - L7 • Защита от известных угроз, уже обнаруженных и описанных • Зависит от образцов в базах данных вендора • Работает на сетевом периметре, неэффективна для внутренних угроз • Не может работать с зашифрованным трафиком • Может блокировать подозри- тельный трафик Signature detection  Host or network level Behavior detection  Network level  Host or network level 
  • 7. • Анализ поведения сети , обнаружение аномалий (NBA, NBAD, ADS) • Gartner и NBA:  «NBA предоставляет высший уровень прозрачности поведения вашей сети, выполняя то, что ожидалось от сигнатурных механизмов». Пол Е. Проктор, вице-президент компании Gartner  INVEA-TECH признана ведущим производителем средств мониторинга потоков и анализа поведения сети для любых потребителей NBA – следующий шаг в обеспечении безопасности Анализ Поведения Сети - следующий шаг в обеспечении безопасности сетей
  • 8. • Инновационное решение для мониторинга сетей с использованием потоков IP • На основе NetFlow v5/v9 и технологии IPFIX • Содержит информацию о том, кто с кем общается, как долго, по какому протоколу, какой объем трафика передает и т.д. • Лучшее соотношение цена/производительность в отрасли • Решение для сетей всех размеров • Исключительные преимущества для потребителя • Ваша сеть под контролем! Решение FlowMon
  • 9. ...Отдел ИБ/Менеджмент... • Преимущества для отделов ИБ:  обнаружение внутренних и внешних атак, изменений поведения в сети  контроль доступа пользователей к источникам данных  сравнение политик безопасности в реальной сети  отслеживание и доказательство инцидентов  предотвращение утечек информации из компании • Преимущества для менеджмента:  сокращение административных и эксплуатационных расходов на сеть  статистические данные о сети (таблицы, круговые диаграммы)  более высокая эффективность работы сотрудников  проактивный подход: черные списки, белые списки, проактивный мониторинг  веб, IM, радио, видео, p2p-сети
  • 10. FlowMon © INVEA-TECH 2015 FlowMon: Комплексное решение Преимущества FlowMon Flow Monitoring Network Security Monitoring On Demand Packet Capture Network/ Application Performance DDoS Protection 2013 2014 2015
  • 11. • Сетевой трафик и мониторинг производительности следующего поколения (NetFlow/IPFIX)  Обеспечение видимости- “глаза” в сетевом трафике  Экономия времени и средств для сетевых администраторов  Быстрый поиск и устранение неисправностей  Существенное сокращение сетевого внедрения, эксплуатации и управленческих расходов Мониторинг 10/1/2015 11© INVEA-TECH 2014
  • 12. • Отличительная особенность: Анализ поведения сети (Network Behavior Analysis) • Сетевая безопасность, анализ поведения и детектирование аномалий следующего поколения  Обнаружение и предупреждение об аномальном поведении  Отчеты по аномалиям и постоянным угрозам повышенной сложности  Обнаружение вторжений и атак, невидимых стандартными сигнатурными инструментами Безопасность 10/1/2015 12© INVEA-TECH 2014
  • 13. • Attacks (port scanning, dictionary attacks, Denial of Service, Telnet protocol) • Anomalies in data traffic (DNS, multicast, non-standard communication) • Anomalies in device behavior (change of the long-term behavior profile of a device) • Unwanted applications (P2P networks, instant messaging, anonymization services) • Internal security issues (viruses, spyware, botnets) • Email traffic (outgoing spam) • Operational problems (delays, excessive load, the reverse DNS records, broken updates) Which incidents does FlowMon ADS detect? 10/1/2015 13© INVEA-TECH 2014
  • 14. • Traffic Recorder  Перехват трафика по требованию (1G/10G/40G)  Контролирует весь сетевой трафик от уровня 2 до уровня 7 (хранит трафик в файле PCAP)  Основан на заданном фильтре (IP, MAC, VLan, …)  Распределенная архитектура без агента  Устранение проблем с помощью содержания пакета • Application Performance Monitoring  Безагентский мониторинг всех приложении  Измерение времени отклика и общей производительности  Предназначен для HTTP/HTTPS, MSSQL приложений  Индекс APM- производительность приложений в виде цифрового значения  Проблемы выявляются до получения уведомлений от конечных пользователей  Определение источников ухудшения доступности User Perspective
  • 15. • FlowMon DDos Defender  Обнаружение и смягчение последствий волюметрических DDoS атак (flow-based)  Использование потока данных из любого источника (роутер, зонд, …)  Прогнозирование объема трафика с помощью динамических базовых показателей  Универсальные сценарии развертывания (простота в установке): DDoS attacks FlowMon DDoS Defender Standalone Out-of-band elimination of DDoS attack (PBR, BGP) Scrubbing Center
  • 16. Компоненты FlowMon • Датчики FlowMon (Зонды)  Пассивный источник данных NetFlow • Коллекторы FlowMon  NetFlow данные, отчеты, анализ • FlowMon плагины  Модули, расширяющие функциональность – ADS (автоматическое детектирование, анализ поведения)
  • 17. Развертывание на крупных предприятиях • Один зонд FlowMon для каждого участка, центральный коллектор  Пассивный мониторинг, простота в установке, безопасность • Область мониторинга  Клиенты - серверы  Клиенты - WAN  Сервер - WAN • Результаты  Веб-интерфейс  Оповещения по e-mail  SIEM (Syslog)
  • 18. Схемы сбора потоков Probe on a SPAN port Probe on a TAP Flows from switch/router Pros • Точность • Производительность • Видимость L2/L3/L4/L7 • Same as „on a SPAN“ • Захват всех пакетов •Разделение RX и TX • Сразу доступен • Не требуется дополнительного HW • Трафик на интерфейсах Cons • Ограничение по мощности • Нет номера интерфейса • Дополнительное HW • Обычно неточная видимость L3/L4 • Влияние на производительность Facts • Подходит для большинства клиентов • Ограниченное кол-во SPAN портов • 2 порта мониторинга • Всегда тестировать перед использованием Use • Enterprise networks • ISP uplinks, DCs • Branch offices (MPLS, …)
  • 19. • Производительность & масштабируемость  Wire-speed NetFlow зонды, 40Г/100Г зонды  Масштабируемость коллектора до 250 000 потоков/c на устройстве Расширенные возможности  User identity awareness  Multi-tenancy, RESTful API, BYOD, SaaS  Видимость L7 (NBAR2), VoIP, HTTP, Country, …  Мониторинг производительности сети и сетевых приложении  Full packet capture (Запис трафика на L7) Технологическое лидерство INVEA © INVEA-TECH 2015
  • 20. «Решение FlowMon буквально открыло нам глаза на трафик в сети. Простой и детальный контроль предоставлен для системных администраторов и менеджеров. Рентабельность составила 150% за 12 месяцев.” “FlowMon предупреждает нас о внутренних проблемах и ежедневных попытках внешних атак.” “На основе отсканированных и оцененных данных нам удалось обнаружить компьютеры с опасным поведением в нашей системе.” “Это позволяет нам обнаруживать и реагировать на неизвестные или конкретные угрозы. Устройство экономит время наших сетевых администраторов при выявлении и решении проблем в сети.” “С автоматическим анализом поведения ,предоставленным FlowMon ,мы имеем сейчас полный обзор в режиме реального времени о нападениях и проблемах в нашей сети, и мы можем очень эффективно решать их.” Отзывы © INVEA-TECH 2015
  • 21. “Теперь мы выполняем законодательные требования безопасности для мониторинга сетевого трафика.” “FlowMon стал важной частью как внутренней безопасности сети,так и анти-DDOS стратегии. Он является “глазами” для нашей SIEM.” “Оптимизация структуры трафика и обнаружения ошибок помогли нам значительно снизить трафик в LAN и MPLS сетях , что позволяет экономить компании тысячи евро каждый месяц” “Мы ускорили и упростили управление нашей сетью. В каждый момент времени мы знаем, что происходит в нашей сети, и мы можем сразу откликнуться на конкретную ситуацию.” Отзывы © INVEA-TECH 2015
  • 22. Международные провайдеры, операторы и дата- центры используют FlowMon для отслеживания трафика, отчетов, биллинга , соответствия или смягчения DDOS в сетях до 100 Гбит/с Системные администраторы малых, средних и крупных предприятий используют FlowMon для эффективного управления своими сетями Офицеры безопасности или команды CSIRT/CERT получили инструмент, который дополняет брандмауэры и антивирусы и позволяет обнаруживать современные проблемы безопасности IT менеджеры измеряют SLA и выгоды от быстрого обнаружения проблемы в случае нападения или аномалии трафика. Это положительно влияет на качество и доступность предоставляемых услуг Истории успеха © INVEA-TECH 2015
  • 23. Лёгкое начало • Тестовая виртуальная версия FlowMon • Доступность по запросу (топология сети) • Лёгкая установка, не оказывает влияния на сеть, моментальные результаты • Локальная и удалённая поддержка • Совместимость с Netflow v5/v9, IPFIX (Cisco), NetStream (Huawei), jFlow (Juniper), sFlow (HP) • Возможность бесплатного пилота
  • 25. Лицензирование зондовТехнологический партнер по высокоскоростным сетям Решение для безопасности и мониторинга сетей INVEA-TECH a.s. U Vodarny 2965/2, Brno 616 00, Web: E-mail: Phone: +420 511 205 250 Список моделей зондов FlowMon Аппаратные устройства P/N* Модель Производительность на порт Мониторинг порт RAID Тип диска CPU** RAM Удаленный контроль Форм- фактор Размеры (В x Ш x Г) см Вес (кг) IFP-1000-CU FlowMon Probe 1000 1,48 млн. пак./с 1 x 10/100/1000 MbE - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05 IFP-2000-CU FlowMon Probe 2000 1,48 млн. пак./с 2 x 10/100/1000 MbE - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05 IFP-4000-CU FlowMon Probe 4000 1,48 млн. пак./с 4 x 10/100/1000 MbE - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05 IFP-4000-SFP FlowMon Probe 4000 SFP 1,48 млн. пак./с 4 x 1Gb Ethernet - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05 IFP-6000-SFP FlowMon Probe 6000 SFP 1,48 млн. пак./с 6 x 1Gb Ethernet - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05 IFP-10000-SFP+ FlowMon Probe 10000 SFP+ 1,5 млн. пак./с 1 x 10Gb Ethernet - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05 IFP-20000-SFP+ FlowMon Probe 20000 SFP+ 1,5 млн. пак./с 2 x 10Gb Ethernet - 1 x SATA 8 8 GB Express 1U 4,2 x 43,4 x 39,4 8,05 IFP-40000-SFP+ FlowMon Probe 40000 SFP+ 5 млн. пак./с 4 x 10Gb Ethernet RAID1 2 x SATA 32 32 GB Enterprise 1U 4,3 x 43,4 x 64,2 19,9 IFP-10000PRO-SFP+ FlowMon Probe 10000 Pro SFP+ 14,8 млн. пак./с 1 x 10Gb Ethernet RAID1 2 x SATA 32 32 GB Enterprise 1U 4,3 x 43,4 x 64,2 19,9 IFP-20000PRO-SFP+ FlowMon Probe 20000 Pro SFP+ 14,8 млн. пак./с 2 x 10Gb Ethernet RAID1 2 x SATA 32 32 GB Enterprise 1U 4,3 x 43,4 x 64,2 19,9 IFP-40000PRO-SFP+ FlowMon Probe 40000 Pro SFP+ 14,8 млн. пак./с 4 x 10Gb Ethernet RAID1 2 x SATA 32 32 GB Enterprise 1U 4,3 x 43,4 x 64,2 19,9 IFP-80000PRO-QSFP+ FlowMon Probe 80000 Pro QSFP+ 20 млн. пак./с 5 млн. пак./с 2 x 40Gb Ethernet 8 x 10Gb Ethernet RAID1 2 x SATA 32 32 GB Enterprise 1U 4,3 x 43,4 x 73,2 19,8 IFP-100000PRO-CFP4 FlowMon Probe 100000 Pro CFP4 148,8 млн. пак./с 1 x 100Gb Ethernet RAID1 2 x SATA TBA TBA Enterprise 2U 8,7 x 43,4 x 75,6 31,5 * CU – медный интерфейс мониторинга. Другие интерфейсы предназначены для использования трансивера в соответствии с контролируемой сетью. ** Число ядер процессора с поддержкой Hyper Threading.. Версия Express удаленного контроля включает в себя доступ к командной строке и веб интерфейс для удаленного наблюдения за состоянием устройства. Версия Enterprise удаленного контроля включает, в том числе, выделенный сетевой интерфейс и виртуальную консоль. Зонд FlowMon IFP-80000-PRO-QSFP+ не поддерживает корпоративное расширение L7 Invea-Tech (HTTP i, статистику VoIP и другую информацию на уровне L7) и полный захват пакетов с помощью FlowMon Traffic Recorder в 2 x 40Гб или 8 x 10Гб Ethernet режимах работы. Поддержка этих функций доступна в 1 x 40Гб или 4 x 10Гб Ethernet режимах работы. Все модели аппаратных зондов FlowMon имеют встроенный коллектор объемом 500 Гб. Виртуальные устройства P/N Model Производительность на порт Интерфейсы мониторинга VMware ESXi Рекомендуемая конфигурация IFP-1000-VA FlowMon Probe 1000 VA до 0,3 млн. пак./с 1 x 1Gb Ethernet 4.1 and higher 2 CPU cores, 4 GB RAM, min. 11 GB HDD IFP-2000-VA FlowMon Probe 2000 VA до 0,3 млн. пак./с 2 x 1Gb Ethernet 4.1 and higher 2 CPU cores, 4 GB RAM, min. 11 GB HDD IFP-4000-VA FlowMon Probe 4000 VA до 0,3 млн. пак./с 4 x 1Gb Ethernet 4.1 and higher 2 CPU cores, 4 GB RAM, min. 11 GB HDD IFP-6000-VA FlowMon Probe 6000 VA до 0,3 млн. пак./с 6 x 1Gb Ethernet 4.1 and higher 2 CPU cores, 4 GB RAM, min. 11 GB HDD IFP-10000-VA FlowMon Probe 10000 VA до 0,7 млн. пак./с 1 x 10Gb Ethernet 4.1 and higher 4 CPU cores, 8 GB RAM, min. 11 GB HDD IFP-20000-VA FlowMon Probe 20000 VA до 0,7 млн. пак./с 2 x 10Gb Ethernet 4.1 and higher 4 CPU cores, 8 GB RAM, min. 11 GB HDD Производительность виртуальных зондов FlowMon зависит от выделенных ресурсов, общей нагрузки на систему и среды развертывания. Valid from 7th April 2015, rev. 4.0
  • 26. Лицензирование коллекторовТехнологический партнер по высокоскоростным сетям Решение для безопасности и мониторинга сетей INVEA-TECH a.s. U Vodarny 2965/2, Brno 616 00, Czech Republic Web: www.invea.com E-mail: info@invea.com Phone: +420 511 205 250 Список моделей коллекторов FlowMon Аппаратные устройства P/N Модель Производительность (потоков/c)* Объем диска RAID Тип диска CPU** RAM Удаленный контроль Форм фактор Размеры (В x Ш x Г), см Вес (кг) IFC-R5-1000 FlowMon Collector R5-1000 75 000 1 TB SW RAID5 3 x SATA Hot Swap 12 12 GB Express 1U 4,3 x 43,4 x 62,5 19,3 IFC-R5-2000 FlowMon Collector R5-2000 100 000 2 TB SW RAID5 3 x SATA Hot Swap 12 12 GB Express 1U 4,3 x 43,4 x 62,5 19,3 IFC-R5-3000PRO FlowMon Collector R5-3000 Pro 150 000 3 TB HW RAID5 4 x SATA Hot Swap 24 32 GB Enterprise 1U 4,3 x 43,4 x 62,5 19,9 IFC-R5-6000PRO FlowMon Collector R5-6000 Pro 150 000 6 TB HW RAID5 4 x SATA Hot Swap 24 32 GB Enterprise 1U 4,3 x 43,4 x 62,5 19,9 IFC-R6-12000PRO FlowMon Collector R6-12000 Pro 200 000 12 TB HW RAID6 8 x SATA Hot Swap 24 64 GB Enterprise 2U 8,7 x 43,4 x 64,6 28,2 IFC-R6-24000PRO FlowMon Collector R6-24000 Pro 200 000 24 TB HW RAID6 8 x SATA Hot Swap 24 64 GB Enterprise 2U 8,7 x 43,4 x 64,6 28,2 * Максимальная производительность (в потоках/с) может меняться в зависимости от настроек устройства и установленных плагинов. ** Число ядер процессора с поддержкой Hyper Threading. Версия Express удаленного контроля включает в себя доступ к командной строке и веб интерфейс для удаленного наблюдения за состоянием устройства. Версия Enterprise удаленного контроля включает, в том числе, выделенный сетевой интерфейс и виртуальную консоль. Виртуальные устройства P/N Модель Производительность (потоков/с)* Объем диска VMware ESXi Минимальная конфигурация IFC-500-VA FlowMon Collector 500 Virtual Appliance up to 75 000 0.5 TB 4.1 и выше 2 CPU cores, 4 GB RAM, 500 IOPS IFC-1000-VA FlowMon Collector 1000 Virtual Appliance up to 75 000 1 TB 4.1 и выше 2 CPU cores, 4 GB RAM, 500 IOPS IFC-2000-VA FlowMon Collector 2000 Virtual Appliance up to 75 000 2 TB 4.1 и выше 2 CPU cores, 4 GB RAM, 500 IOPS IFC-3000-VA FlowMon Collector 3000 Virtual Appliance up to 150 000 3 TB 4.1 и выше 4 CPU cores, 8 GB RAM, 1000 IOPS IFC-6000-VA FlowMon Collector 6000 Virtual Appliance up to 150 000 6 TB 4.1 и выше 4 CPU cores, 8 GB RAM, 1000 IOPS IFC-12000-VA FlowMon Collector 12000 Virtual Appliance up to 200 000 12 TB 4.1 и выше 8 CPU cores, 16 GB RAM, 2000 IOPS IFC-24000-VA FlowMon Collector 24000 Virtual Appliance up to 200 000 24 TB 4.1 и выше 8 CPU cores, 16 GB RAM, 2000 IOPS * Максимальная производительность (в потоках/с) может меняться в зависимости от настроек устройства и установленных плагинов. Максимальная производительность может быть достигнута за счет выделения достаточного количества аппаратных ресурсов в соответствии с описанием аппаратного коллектора включая достаточную производительность диска. Коллекторы FlowMon в форме виртуальных устройств включают порта мониторинга, которые позволяют напрямую отслеживать сетевой трафик и генерировать статистику NetFlow/IPFIX Модели 1U/2U/Virtual Appliance: Valid from 7th April 2015, rev. 4.0
  • 27. ADS for SMBs/Enterprises Lite Standard Business Corporate Размер сети до 250 ПК 1 000 ПК 5 000 ПК 10 000 ПК Производитель- ность, потоков/с 1x100 1x1000 2x2000 3x3000 Поддержка SIEM (Syslog, SNMP) NO NO YES YES Набор функций ограниченный стандартный полный полный Модули для сбора & обработки данных о потоках 1 1 2 3 • Подробная информация о версии Enterprise и цены по запросу
  • 28. ADS for ISPs/DCs/operators ISP 1 ISP 4 ISP 10 ISP 40 Для полосы пропускания 1Гбит/с 4Гбит/с 10Гбит/с 40Гбит/с Производитель- ность, потоков/с, после взятия проб 1 x 5000 2 x 5000 1 x 10000 2 x 10000 Поддержка SIEM (Syslog, SNMP) Да Да Да Да Набор функций полный полный полный полный Модули для сбора & обработки данных о потоках 1 2 1 2 • Подробная информация о версии ISP100 и цены по запросу
  • 29. INVEA-TECH a.s. U Vodárny 2965/2 616 00 Brno, Czech Republic www.invea.com High-Speed Networking Technology Partner Спасибо за внимание! Мартин Шибл sibl@invea.com +7 916 847 3345