NetWitness – новый игрок на рынке информационной безопасности

Виктор Сердюк
генеральный директор ЗАО "ДналогНаука"

В  настоящее  время на  российском  рынке информационной безопасности представлены все ведущие компании-производители    решений класса DLP. Примерами   таких   решений являются продукты Websense   Data   Security   и Symantec DLP. Данные решения позволяют эффективно выявлять факты утечки конфиденциальной информации на основе ключевых слов, цифровых отпечатков и других технических приемов.  Однако в процессе эксплуатации DLP-решений часто  возникает  необходимость в проведении  расследований выявленных или  предполагаемых инцидентов. Для проведения такого рода расследований необходимо понимать, что делал  предполагаемый  нарушитель до зафиксированного инцидента. К сожалению, решения класса DLP не способны предоставить исчерпывающую информацию для ответа на данный вопрос. Для решения данной задачи применяются решения класса network forensic.

Решение важных задач

Одним из наиболее функциональных продуктов данной категории является решение NetWitness NextGen компании NetWitness. Данный продукт обеспечивает решение следующих основных задач на основе мониторинга сетевого трафика:

• сбор и хранение пакетов данных, циркулирующих в ЛВС компании, которые могут быть использованы как доказательная база при расследовании инцидентов безопасности;
• выявление нарушений политики информационной безопасности, которые можно обнаружить на основе анализа сетевого трафика (передача паролей в открытом виде, использование несанкционированных протоколов, передача конфиденциальной информации в незашифрованном виде и др.);
• выявление фактов передачи конфиденциальной информации по ключевым словам;
• выявление нештатных ситуаций и сетевых аномалий, связанных с инцидентами безопасности (например, наличие протокола IRC по нестандартному порту или наличие SSL с самоподписанным сертификатом и др.);
• выявление активности вредоносного кода посредством анализа исполняемых файлов, передаваемых по сети.

Архитектура

NetWitness NextGen реализует задачи по мониторингу сети с помощью трехкомпонентной архитектуры: декодер – концентратор – брокер. Декодер – это базовый компонент всей инфраструктуры NetWitness, который отвечает за сбор и хранение пакетов данных. Декодеры передают собранные данные концентраторам, которые в режиме реального времени объединяют метаданные для анализа и в свою очередь передают их в брокер – устройство, позволяющее в режиме реального времени получить полную картину работы сети для всего предприятия. Все компоненты NetWitness NextGen поставляются   в   виде   программно-аппаратных    комплексов.

Различные варианты платформы позволяют подобрать именно те компоненты продукта, которые соответствуют топологии конкретной сети и отвечают требованиям производительности каждой системы. Анализ трафика в режиме реального времени позволяет отслеживать перемещение информации, контролировать потоки информации и не просто собирать доказательства нарушений, но и предотвращать возможные попытки передачи конфиденциальной информации.

Преимущества

В отличие от других предложенных на рынке продуктов для перехвата пакетов и мониторинга сети, NetWitness Next-Gen полностью собирает и нормализует сетевой трафик на каждом уровне модели OSI. При этом сбор и анализ информации осуществляется в реальном масштабе времени, чтобы максимально оперативно выявлять и реагировать на инциденты безопасности. Необходимо отметить, что декодеры позволяют собирать и анализировать информацию со скоростью до 1 Гбит/с.

NetWitness NextGen дает возможность интегрироваться на уровне интерфейса с системами мониторинга информационной безопасности, например с ArcSight ESM. Это позволяет полноценно управлять информационной безопасностью, обеспечивать не только обнаружение, но и последующее расследование инцидентов безопасности.

Подробную информацию см. на сайте www.netwitness-russia.ru