От сигнатур к анализу аномалий

БЕЗОПАСНОСТЬ

Enterasys и Q1 Labs создают интегрированную защиту сетей

Все ключевые системы защиты корпоративных ИС с момента своего создания опирались на сигнатурный метод распознавания угроз, и сегодня разработчики систем безопасности успешно продолжают его применять и развивать. Вместе с тем в предчувствии ограничений, которые вытекают, с одной стороны, из реактивной природы сигнатурного метода, а с другой - из тенденций угроз безопасности, вендоры исследуют возможности новых, проактивных подходов к защите.

Здесь вступают в игру различные эвристические алгоритмы - анализа поведения, корреляции событий, сетевой активности. Уже получены результаты, представляющие ценность не только для исследователей, но и для поставщиков систем безопасности, готовых встраивать новые алгоритмы в свои продукты в качестве эффективного дополнения к традиционным методам сигнатурной защиты.

По этому пути начинают двигаться и такие идеологи сетевой безопасности, как Enterasys Networks (www.enterasys.com), чья концепция защищенной архитектуры Secure Networks, воплощенная в сетевых устройствах и управляющем ПО, многими отраслевыми экспертами воспринимается как образец инфраструктурной защиты (она опирается именно на сигнатурный метод). Сквозное решение Secure Networks защищает сеть при одновременном сохранении видимости и управляемости ресурсов вплоть до отдельных сетевых устройств, пользователей и программных средств, что позволяет быстро обнаруживать вторжения и предотвращать их последствия.

Вместе с тем неизбежное сужение применимости сигнатурных методов подталкивает Enterasys к технологическому сотрудничеству с молодыми фирмами, нацеленными на поиск и создание новых, проактивных способов защиты коммуникаций. Недавно Enterasys объявила о стратегическом сотрудничестве с фирмой Q1 Labs (www.q1labs.com). Эта компания занимает нишу, где пересекаются возможности сетевого оборудования и средств защиты, предлагая средства управления защитой корпоративной инфраструктуры и отдельных устройств в реальном времени и с единой консоли.

Партнеры совместно разработают комплект приложений защиты сетей на основе технологий управления потоками данных. Эти приложения смогут обнаруживать, идентифицировать и пресекать попытки выполнения несанкционированных действий как изнутри защищенной области, так и вне ее независимо от их источника. Новые решения повысят готовность и производительность корпоративных сетей, а также обеспечат их совместимость с новыми жесткими требованиями к защите данных без замены аппаратной инфраструктуры.

Система Q1 Labs QRadar анализирует аномальную активность и нестандартное поведение в сети. Она представляет собой комплекс из детектора аномалий, анализатора потоков данных и модуля управления событиями, построенных на основе единой архитектуры. Система изучает потоки данных, передаваемых при нормальной эксплуатации сети, а затем начинает реагировать на нестандартные ситуации и попытки выполнения несанкционированных операций.

Решения Enterasys опираются на принцип обнаружения угроз по сигнатурам. Система Enterasys Dynamic Intrusion Response позволяет обнаруживать и пресекать разнообразные попытки несанкционированного доступа. Она основана на механизме защиты от вторжений Dragon и представляет собой решение, в котором детекторы несанкционированного доступа объединены с комплексом средств управления сетью. Такое сочетание обеспечивает хорошую видимость событий в сети и дает возможность точечного управления системой защиты и нейтрализации атак. Система отличается минимальным числом ложных срабатываний и минимальным объемом вмешательства в работу сети при нейтрализации атак.

Enterasys интегрирует QRadar в свои продукты (в частности, в систему Dragon, а также маршрутизаторы и коммутаторы Matrix). Вместе эти системы образуют комплекс защиты, способный противостоять разнообразным внешним и внутренним угрозам.

Традиционные системы обеспечения безопасности включают несколько независимых приложений для защиты различных компонентов сети. Интеграция систем Secure Networks и QRadar сделает подобный подход ненужным, обеспечив ту же функциональность. Основанные на единой архитектуре разработки Enterasys и Q1 Labs помогут администраторам находить источники атак и устранять угрозы прежде, чем они повлияют на работоспособность сети, и предоставят детальную картину сетевых событий.