В рубрику "Проекты и решения" | К списку рубрик | К списку авторов | К списку публикаций
В настоящее время на российском рынке информационной безопасности представлены все ведущие компании-производители решений класса DLP. Примерами таких решений являются продукты Websense Data Security и Symantec DLP. Данные решения позволяют эффективно выявлять факты утечки конфиденциальной информации на основе ключевых слов, цифровых отпечатков и других технических приемов. Однако в процессе эксплуатации DLP-решений часто возникает необходимость в проведении расследований выявленных или предполагаемых инцидентов. Для проведения такого рода расследований необходимо понимать, что делал предполагаемый нарушитель до зафиксированного инцидента. К сожалению, решения класса DLP не способны предоставить исчерпывающую информацию для ответа на данный вопрос. Для решения данной задачи применяются решения класса network forensic.
Одним из наиболее функциональных продуктов данной категории является решение NetWitness NextGen компании NetWitness. Данный продукт обеспечивает решение следующих основных задач на основе мониторинга сетевого трафика:
NetWitness NextGen реализует задачи по мониторингу сети с помощью трехкомпонентной архитектуры: декодер – концентратор – брокер. Декодер – это базовый компонент всей инфраструктуры NetWitness, который отвечает за сбор и хранение пакетов данных. Декодеры передают собранные данные концентраторам, которые в режиме реального времени объединяют метаданные для анализа и в свою очередь передают их в брокер – устройство, позволяющее в режиме реального времени получить полную картину работы сети для всего предприятия. Все компоненты NetWitness NextGen поставляются в виде программно-аппаратных комплексов.
Различные варианты платформы позволяют подобрать именно те компоненты продукта, которые соответствуют топологии конкретной сети и отвечают требованиям производительности каждой системы. Анализ трафика в режиме реального времени позволяет отслеживать перемещение информации, контролировать потоки информации и не просто собирать доказательства нарушений, но и предотвращать возможные попытки передачи конфиденциальной информации.
В отличие от других предложенных на рынке продуктов для перехвата пакетов и мониторинга сети, NetWitness Next-Gen полностью собирает и нормализует сетевой трафик на каждом уровне модели OSI. При этом сбор и анализ информации осуществляется в реальном масштабе времени, чтобы максимально оперативно выявлять и реагировать на инциденты безопасности. Необходимо отметить, что декодеры позволяют собирать и анализировать информацию со скоростью до 1 Гбит/с.
NetWitness NextGen дает возможность интегрироваться на уровне интерфейса с системами мониторинга информационной безопасности, например с ArcSight ESM. Это позволяет полноценно управлять информационной безопасностью, обеспечивать не только обнаружение, но и последующее расследование инцидентов безопасности.
Подробную информацию см. на сайте www.netwitness-russia.ru
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2011