Cisco Stealthwatch

Продукт
Название базовой системы (платформы): Cisco NetFlow
Разработчики: Lancope
Дата последнего релиза: 2014/03/27
Отрасли: Телекоммуникация и связь
Технологии: ИБ - Межсетевые экраны,  Системы управления производительностью сетевых приложений

Решения Lancope StealthWatch – это NBA-системы (Network Behavior Analysis). Они предназначены для обнаружения аномалий в сети и мониторинга производительности на основе информации о потоках (NetFlow, sFlow), собираемой со всех сетевых устройств, включая компьютеры и виртуальные объекты (например, виртуальные сервера и VPN).

На основе анализа этой информации StealthWatch выявляет разнообразные случаи угроз и нарушений, таких как:

  • Несанкционированное проникновение в сеть, пропущенное классическими средствами защиты периметра (IPS/IDS)
  • Распространение вирусов, «червей» и шпионского ПО, не обнаруженное штатными антивирусными средствами
  • Неправильные действия пользователей (например, открытие сессии P2P, масштабные загрузки с торрент-трекеров, обращение к сегментам сети, к которым нет доступа, попытка доступа к конфиденциальной информации и т.п.)
  • Появление в сети новых устройств (хостов) и их «поведение». Так, StealthWatch сможет определить, кто занимается загрузкой большого количества непродуктивного контента, такого как MP3 или видео.
  • Ошибки в работе оборудования
  • Возникновение в сети «узких» мест и другие возможные нарушения
  • Контроль реальных расходов трафика: например, какой хост "съедает" большую часть полосы пропускания и что за данные через него проходят.

Таким образом, применение системы StealthWatch дает возможность установить реальный контроль над действиями пользователей и работой сетевых устройств. Сеть, в которой установлен StealthWatch, - это сеть без «белых пятен» и «черных дыр»: администраторы видят и контролируют все процессы и события, которые в ней происходит.

В StealthWatch объединяются все наиболее важные функции безопасности и управления ИТ- и сетевой инфраструктуры: мониторинг сетевых взаимодействий; отслеживание аномалий для анализа поведения сети; обеспечение безопасности путем выявления опасных событий; реагирование на угрозы – блокировка опасных событий; оптимизация и конфигурирование трафика и емкости; отчетность для всех коммуникаций и хостов.

Используя StealthWatch, компании могут снизить затраты, приобретая вместо разрозненных решений одно, и уменьшить, таким образом, общую стоимость управления сетями и их защиты.

В настоящее время решение StealthWatch обеспечивает мониторинг более 45 млн. элементов (хостов) в сетях сотен предприятий и правительственных организаций по всему миру, от крупнейших корпораций и федеральных операторов связи, до предприятий малого и среднего бизнеса.


Существует 10 основных показателей, в которых StealthWatch отличается от большинства решений мониторинга на базе потоков:

  1. StealthWatch - давно отлаженный, "устоявшийся" продукт, работающий уже 13 лет.
  2. В отличие от большинства потоковых технологий мониторинга, которые разрабатывались для контроля сетевой производительности, а функционал контроля безопасности был добавлен много позже, Lancope фокусировался на сетевой безопасности с первого дня.
  3. В отличие от других потоковых технологий, предназначенных в первую очередь для небольших сетевых сред, StealthWatch может очень эффективно и недорого масштабироваться до 120 000 потоков/сек (fps) на коллектор или до 3 млн. fps всего, и защищать даже большие сети.
  4. Благодаря комбинации потокового мониторинга и контроля на уровне пакетов, StealthWatch обеспечивает полную прозрачность всей сети, даже для таких сред, как виртуальные или сети 10G.
  5. В то время, как большинство систем сбора NetFlow обладают очень ограниченными возможностями анализа, StealthWatch использует мощный поведенческий анализ и функционал глубинного анализа, разработанный для эффективного обнаружения в реальном времени ботнетов, атак типа APT (advanced persistent threats), инсайдерских угроз и других аномалий.
  6. StealthWatch имеет продвинутый функционал, включающий способность получения информации о приложениях, идентификации, мобильных устройствах, а также автоматическая приоритезация устройств и упрощение разрешения проблем для широкого ранга сетевых проблем.
  7. В дополнение к улучшенным возможностям в области безопасности и производительности, StealthWatch может быть легко расширен для поддержки дополнительных функций, включая Help Desk, планирование емкости, анализ сетевого поведения и т.п.
  8. Компания Lancope имеет давно налаженное технологическое партнерство и продуктовую интеграцию с ведущими производителями сетевого оборудования и систем безопасности.
  9. StealthWatch может приобретаться как в аппаратной форме, так и в виде виртуального устройства, предоставляя пользователям гибкость выбора во внедрении и структуре обслуживания.
  10. Cisco, разработчик NetFlow, использует Lancope как компонент мониторинга на базе потоков для своего решения Cisco Cyber Threat Defense.

Lancope StealthWatch 6.2.2

09.07.2012 года вышло обновление системы StealthWatch - версия 6.2.2. Это обновление применимо ко всем системам 6.2.0 и 6.2.1. Все системы, работающие на версии StealthWatch 6.2.1 должны быть обновлены до версии 6.2.2, по возможности, немедленно.

Технология NAT в свое время была создана для максимизации количества доступных IP-адресов. Однако эта технология, к сожалению, существенно снижает прозрачность сети, поскольку администраторы не могут видеть точно, кто отвечает за проблемы, возникшие в области производительности или безопасности. Сегодня, в эпоху продвинутых и развитых угроз и постоянно эволюционирующей сетевой среды, предприятия уже не могут не обращать внимание на возможные опасности, происходящие от подобных "слепых пятен".

"Сшивка" внешнего интернетовского IP-адреса и внутреннего сетевого адреса пользователя в единую запись, а также дедупликация записей NAT позволяет помочь исключить долговременный разбирательства с целью определения истинного виновника плохого поведения сети. Объединяя эти данные с идентификационной информацией от StealthWatch IDentity или Cisco Identity Services Engine (ISE) можно получить еще более точные данные для анализа проблем в сети.

"Точность определения идентичности пользователя через точки NAT в сети становится критичным фактором для эффективного разрешения проблем безопасности, производительности и тому подобного", - говорит Джо Ягер (Joe Yeager), директор по управлению продуктами компании Lancope. - "Без возможности быстро и точно получать эту информацию, организации очень быстро поймут, что они тратят массу времени, продираясь через log-файлы, либо окажутся в очень серьезной ситуации, которая будет оказывать разрушающее воздействие не только на IT-департамент".

Система StealthWatch собирает и анализирует данные NetFlow, IPFIX и других типов потоковых данных из существующей инфраструктуры для того, чтобы получить новые возможности по решению проблем производительности и безопасности, управлению рисками и обеспечению полной прозрачности всех происходящих событий в сети. Не опираясь на необходимость постоянного обновления сигнатур, система использует сложный поведенческий анализ для обнаружения полного спектра внутренних и внешних угроз, характерных для современных условий, включая проблему zero-day, ботнеты, DDoS, APT (advanced persistent threats) и утечки информации от инсайдеров.

Анализируя свыше 120 тысяч потоков в секунду на один коллектор или около 3 млн. потоков в секунду для всей системы, StealthWatch обеспечивает надежный, оптимальный по цене мониторинг трафика даже для самых больших сетей. Высокоскоростная запись NAT особенно важна сейчас, когда операторы и сервис-провайдеры рассматривают возможности использования NAT операторского класса (CGN) или другим термином - масштабного NAT (large-scale NAT), который позволяет тысячам пользователей совместно использовать один IP-адрес и облегчает возможность "плохим актерам" прятаться за NAT.

Устройство Lancope StealthWatch создает "снимок" (базовую отметку) нормального трафика для каждого сетевого хоста, группы хостов и определяет взаимоотношения между хостами. Подобный подход позволяет StealthWatch сигнализировать при следующих условиях, ассоциирующихся с DDoS:

  • Высокий индекс мишени. Каждому хосту присваивается значение, соответствующее уровню подозрительной активности, которая направлена на него. Это позволяет получить список приоритетных активов, которые находятся в максимальной опасности.
  • Время отклика сервера. Используя устройства FlowSensor и FlowSensor VE, система StealthWatch может сигнализировать, когда веб-сервер или сервер баз данных начинает захлебываться.
  • Количество пакетов в секунду. StealthWatch может отображать чрезмерное количество трафика, направленное на сетевые ресурсы.
  • Закупорка интерфейса. Метрики уровня производительности интерфейса постоянно контролируются, обеспечивая просмотр атаки на физическом уровне.
  • Максимальное количество обслуживаемых потоков. Каждый сервер создает базовые параметры нормального объема соединений. Когда этот порог преодолевается, оператор StealthWatch получает соответствующий сигнал.
  • Максимальное количество получаемых SYN. Когда сервер начинает получать "нездоровое" количество пакетов TCP SYN, можно использовать раннее предупреждение об этом.
  • Высокий общий трафик взаимосвязей. Когда создается такое количество HTTP-запросов, которое превышает возможности сервера баз данных, то появляется сигнал о несоответствии взаимного количества запросов-ответов, показывающий проблемы на таком уровне, на котором другие системы борьбы с DDoS не работают.
  • Активность нового хоста. Легитимные пользователи веб-сервисов имеют тенденцию к регулярности своих визитов. Атакующие хосты не имеют привычки задерживаться или возвращаться на "место преступления". StealthWatch может различать эти два типа пользователей.
  • High Concern Index. Это собственная методика Lancope, которая заключается в том, что такой индекс (показатель) опасности позволяет определять приоритет подозрительной или аномальной активности, проистекающей от хоста. Внешние "агрессоры" вызывают появления сигнала от High Concern Index, когда компьютеры, к которым они хотят подключиться, будут иметь низкий индекс.
  • Максимальное количество инициируемых потоков. Зная количество потоков в минуту, которое создает легитимный пользователь при доступе к сервису, StealthWatch будет сигнализировать о хостах, которые будут показывать превышение такой нормы.

2014: StealthWatch 6.5

27 марта 2014 года компания Lancope объявила о выходе новой версии своей платформы мониторинга безопасности на основе анализа поведения сети (Network Behavior Analysis) StealthWatch 6.5.


Описание

Обновленная система представляет расширенные возможности аналитики безопасности для обеспечения беспрецедентного контроля сети и обнаружения угроз. Используя новый интуитивно понятный веб-интерфейс и сложные функции предупреждений, StealthWatch 6.5 облегчает организациям быструю идентификацию и остановку действия продвинутых современных атак, которые проходят сквозь защиту периметра.

Новые возможности

  • Панель управления оперативным исследованием сетевой активности и безопасности (The Operational Network & Security Intelligence, ONSI), позволяет системе точно определять "смертельную цепочку" (kill chain) атаки, преобразуя данные о сети и безопасности в действенную информацию для быстрого определения и удаления последствий атаки.
  • Новая система предупреждения о накоплении данных определяет, когда внешний хакер или инсайдер начинает переносить данные с критичных мест, таких как файловый сервер или POS-терминалы, тем самым позволяя предотвратить утечки данных.
  • Обновления StealthWatch Labs обеспечивают расширенную защиту от основных угроз, предоставляя поведенческие алгоритмы заказчикам в дополнение стандартного цикла обновления продукта.
  • Определяемые пользователем критерии угроз, которые позволяют клиентам Lancope еще расширить защиту своей сети путем создания собственных событий и сигналов, основанных на собственных политиках безопасности или специфических угрозах для своей среды.


Дополнительные расширения

  • Интуитивно понятный веб-интерфейс предоставляет мощную, простую и элегантную платформу с улучшенной юзабилити.
  • Интеграция с Active Directory в пользовательском интерфейсе позволяет получить дополнительные идентификационные подробности пользователей, такие как местонахождение в офисе, контактные данные и должность в компании, что обеспечивает расширенные возможности разрешения проблем.
  • Конфигурирование пользовательских приложений позволяет обнаруживать пользовательские приложения в сетевой среде, что облегчает идентификацию аномального трафика.

Система StealthWatch 6.5 доступна. Действующие клиенты Lancope получат новую систему как часть сервиса поддержки.



СМ. ТАКЖЕ (3)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (144)
  ESET (ИСЕТ Софтвеа) (65)
  Инфосистемы Джет (64)
  ДиалогНаука (56)
  Информзащита (40)
  Другие (1190)

  Смарт-Софт (Smart-Soft) (5)
  Национальный аттестационный центр (НАЦ) (4)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (4)
  Другие (72)

  Солар (ранее Ростелеком-Солар) (8)
  А-Реал Консалтинг (6)
  Softline (Софтлайн) (3)
  TUV Austria (2)
  Сторм системс (StormWall) (2)
  Другие (55)

  Инфосистемы Джет (6)
  UserGate, Юзергейт (ранее Entensys) (5)
  Уральский центр систем безопасности (УЦСБ) (4)
  МСС Международная служба сертификации (3)
  Национальный аттестационный центр (НАЦ) (3)
  Другие (55)

  Positive Technologies (Позитив Текнолоджиз) (5)
  ИВК (4)
  Уральский центр систем безопасности (УЦСБ) (4)
  Инфосистемы Джет (4)
  TS Solution (ТС Солюшен) (2)
  Другие (44)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (22, 169)
  ESET (ИСЕТ Софтвеа) (11, 79)
  Positive Technologies (Позитив Текнолоджиз) (13, 68)
  Смарт-Софт (Smart-Soft) (5, 47)
  Доктор Веб (Dr.Web) (7, 45)
  Другие (715, 493)

  Смарт-Софт (Smart-Soft) (1, 5)
  R-Vision (Р-Вижн) (1, 4)
  Ngenix (Современные сетевые технологии, ССТ) (2, 3)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Trend Micro (2, 3)
  Другие (13, 12)

  Солар (ранее Ростелеком-Солар) (3, 7)
  А-Реал Консалтинг (3, 6)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (2, 4)
  АМТ-Груп (AMT Group) (1, 1)
  Другие (12, 12)

  UserGate, Юзергейт (ранее Entensys) (3, 8)
  Лаборатория Касперского (Kaspersky) (1, 3)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  А-Реал Консалтинг (1, 2)
  Крок Облачные сервисы (1, 1)
  Другие (6, 6)

  UserGate, Юзергейт (ранее Entensys) (6, 9)
  Positive Technologies (Позитив Текнолоджиз) (4, 5)
  ИВК (1, 4)
  Cloud4Y (ООО Флекс) (1, 1)
  X-Labs (Икс Лабз) (1, 1)
  Другие (4, 4)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Endpoint Security - 81 (81, 0)
  ESET NOD32 Business Edition - 51 (51, 0)
  Dr.Web антивирус - 48 (12, 36)
  MaxPatrol SIEM - 35 (33, 2)
  Kaspersky Enterprise Space Security - 34 (34, 0)
  Другие 561

  Смарт-софт: Traffic Inspector Next Generation - 5 (5, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  FortiOS - 3 (0, 3)
  StormWall: Многоуровневая распределенная система фильтрации - 2 (2, 0)
  Ngenix Облачная платформа - 2 (2, 0)
  Другие 11

  Kaspersky Endpoint Security - 3 (3, 0)
  Solar JSOC - 3 (3, 0)
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  Solar MSS - 3 (3, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Другие 19

  UserGate UTM - 4 (4, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3 (3, 0)
  UserGate C-серия Межсетевые экраны - 3 (3, 0)
  А-Реал Консалтинг: Межсетевой экран ИКС - 2 (2, 0)
  Другие 7

  ИВК Кольчуга - 4 (4, 0)
  UserGate UTM - 3 (3, 0)
  UserGate E-серия Межсетевые экраны - 2 (2, 0)
  UserGate VE-серия Виртуальные межсетевые экраны - 2 (2, 0)
  UserGate Next-Generation Firewall (NGFW) - 2 (2, 0)
  Другие 12

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Рускомтехнологии (21)
  Глобус-телеком (16)
  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (9)
  ХайперСофтЛаб (GMonit) (5)
  Nutanix (бизнес в России) (3)
  Другие (77)

  Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (7)
  Рускомтехнологии (5)
  Nutanix (бизнес в России) (3)
  ЛАНИТ-Интеграция (2)
  Schneider Electric Global (1)
  Другие (8)

  Рускомтехнологии (7)
  C3 Solutions (СиТри Солюшнз, Новые Технологии) (1)
  ISPsystem (Экзософт) (1)
  Другие (0)

  Рускомтехнологии (4)
  ХайперСофтЛаб (GMonit) (3)
  Novardis (Новардис Консалтинг) (1)
  Т-Банк (Тинькофф Банк) (1)
  Другие (0)

  ХайперСофтЛаб (GMonit) (2)
  Platformix (Платформикс) (1)
  Нота (Холдинг Т1) (1)
  Рускомтехнологии (1)
  Другие (0)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Рускомтехнологии (2, 22)
  Глобус-телеком (1, 16)
  Zabbix SIA (Заббикс) (1, 11)
  Nutanix (1, 11)
  Cisco Systems (10, 10)
  Другие (112, 49)

  Nutanix (1, 9)
  Рускомтехнологии (1, 5)
  Hewlett Packard Enterprise (HPE) (1, 1)
  Sangfor Technologies (1, 1)
  Zabbix SIA (Заббикс) (1, 1)
  Другие (3, 3)

  Рускомтехнологии (2, 7)
  ISPsystem (Экзософт) (1, 1)
  Другие (0, 0)

  Рускомтехнологии (1, 4)
  ХайперСофтЛаб (GMonit) (1, 3)
  Novardis (Новардис Консалтинг) (1, 1)
  Т-Банк (Тинькофф Банк) (1, 1)
  Другие (0, 0)

  Рускомтехнологии (1, 2)
  ХайперСофтЛаб (GMonit) (1, 2)
  T1 Digital (Т1 Диджитал) (1, 1)
  Т1 (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Рускомтехнологии: Ключ-Астром - 22 (21, 1)
  ПАК СКИТ.Мониторинг - 16 (16, 0)
  Nutanix HCI - 11 (11, 0)
  Zabbix Система для мониторинга сетей и приложений - 11 (11, 0)
  Cisco Identity Services Engine (ISE) - 7 (7, 0)
  Другие 49

  Nutanix HCI - 9 (9, 0)
  Рускомтехнологии: Ключ-Астром - 5 (5, 0)
  AppDynamics Платформа мониторинга производительности приложений - 1 (1, 0)
  Zabbix Система для мониторинга сетей и приложений - 1 (1, 0)
  Sangfor HCI - 1 (1, 0)
  Другие 2

  Рускомтехнологии: Ключ-Астром - 7 (6, 1)
  Другие -1

  Рускомтехнологии: Ключ-Астром - 4 (4, 0)
  GMonit Observability-платформа - 3 (3, 0)
  Тинькофф: Sage Платформа для мониторинга и real-time аналитики работы ИТ-систем - 1 (1, 0)
  Другие 0

  Рускомтехнологии: Ключ-Астром - 2 (2, 0)
  GMonit Observability-платформа - 2 (2, 0)
  Другие 0