Å sikre nettverkssikkerheten i et IT-miljø i rask endring og den kontinuerlige utviklingen av brukere krever en rekke sofistikerte verktøy for å utføre sanntidsanalyse. Overvåkingsinfrastrukturen din kan ha ytelsesovervåking av nettverk og applikasjoner (NPM/APM), dataloggere og tradisjonelle nettverksanalysatorer, mens forsvarssystemene dine bruker brannmurer, inntrengingsbeskyttelsessystemer (IPS), forebygging av datalekkasje (DLP), anti-malware og andre løsninger.
Uansett hvor spesialiserte sikkerhets- og overvåkingsverktøyene er, har de alle to ting til felles:
• Trenger å vite nøyaktig hva som skjer i nettverket
• Resultatene av analysen er kun basert på dataene som er mottatt
En undersøkelse utført av Enterprise Management Association (EMA) i 2016 fant at nesten 30 % av respondentene ikke stolte på at verktøyene deres ville motta alle dataene de trengte. Dette betyr at det finnes blindsoner i nettverket når det gjelder overvåking, noe som til slutt fører til nytteløs innsats, for høye kostnader og høyere risiko for hacking.
Synlighet krever at man unngår sløsende investeringer og blindsoner i nettverksovervåking, noe som krever at man samler inn relevante data om alt som skjer i nettverket. Splitterne/delerne og speilportene til nettverksenheter, også kjent som SPAN-porter, blir tilgangspunktene som brukes til å fange opp trafikk for analyse.
Dette er en relativt «enkel operasjon»; den virkelige utfordringen er å effektivt få dataene fra nettverket til alle verktøy som trenger dem. Hvis du bare har noen få nettverkssegmenter og relativt få analyseverktøy, kan de to kobles direkte sammen. Men gitt hastigheten nettverkene fortsetter å skalere med, selv om det er logisk mulig, er det en god sjanse for at denne én-til-én-forbindelsen vil skape et vanskelig administrasjonsmareritt.
EMA rapporterte at 35 % av bedriftsinstitusjonene oppga mangelen på SPAN-porter og -splittere som hovedårsaken til at de ikke kunne overvåke nettverkssegmentene sine fullt ut. Porter på avanserte analyseverktøy som brannmurer kan også være mindre tilgjengelige, så det er viktig at du ikke overbelaster utstyret ditt og forringer ytelsen.
Hvorfor trenger du nettverkspakkemeglere?
Network Packet Broker (NPB) installeres mellom splitter- eller SPAN-portene som brukes til å få tilgang til nettverksdata, samt sikkerhets- og overvåkingsverktøy. Som navnet antyder, er den grunnleggende funksjonen til Network Packet Broker: å koordinere nettverkspakkedataene for å sikre at hvert analyseverktøy nøyaktig henter dataene det trenger.
NPB legger til et stadig viktigere lag med intelligens som reduserer kostnader og kompleksitet, og hjelper deg med å:
For å få mer omfattende og nøyaktige data for bedre beslutningstaking
Nettverkspakkemegler med avanserte filtreringsfunksjoner brukes til å gi nøyaktige og effektive data til overvåkings- og sikkerhetsanalyseverktøyene dine.
Strammere sikkerhet
Når du ikke kan oppdage en trussel, er det vanskelig å stoppe den. NPB er utformet for å sikre at brannmurer, IPS og andre forsvarssystemer alltid har tilgang til nøyaktig de dataene de trenger.
Løs problemer raskere
Faktisk står bare det å identifisere problemet for 85 % av MTTR. Nedetid betyr tapte penger, og feil håndtering av det kan ha en ødeleggende innvirkning på virksomheten din.
Kontekstbevisst filtrering levert av NPB hjelper deg med å oppdage og bestemme roten til problemer raskere ved å introdusere avansert applikasjonsintelligens.
Øk initiativet
Metadataene som leveres av smart NPB gjennom NetFlow, forenkler også tilgang til empiriske data for å administrere båndbreddebruk, trender og vekst for å kvele problemet i fødselen.
Bedre avkastning på investeringen
Smart NPB kan ikke bare aggregere trafikk fra overvåkingspunkter som svitsjer, men også filtrere og samle data for å forbedre utnyttelsen og produktiviteten til sikkerhets- og overvåkingsverktøy. Ved å kun håndtere relevant trafikk kan vi forbedre verktøyets ytelse, redusere overbelastning, minimere falske positiver og oppnå større sikkerhetsdekning med færre enheter.
Fem måter å forbedre avkastningen på med Network Packet Brokers:
• Raskere feilsøking
• Oppdag sårbarheter raskere
• Reduser belastningen med sikkerhetsverktøy
• Forleng levetiden til overvåkingsverktøy under oppgraderinger
• Forenkle samsvar
Hva kan egentlig NPB gjøre?
Aggregering, filtrering og levering av data høres enkelt ut i teorien. Men i virkeligheten kan smarte NPB-er utføre svært komplekse funksjoner, noe som resulterer i eksponentielt høyere effektivitets- og sikkerhetsgevinster.
Lastbalansering av trafikk er en av funksjonene. Hvis du for eksempel oppgraderer datasenternettverket ditt fra 1 Gbps til 10 Gbps, 40 Gbps eller høyere, kan NPB redusere hastigheten for å allokere høyhastighetstrafikken til en eksisterende gruppe med lavhastighetsanalyseverktøy for 1G eller 2G. Dette øker ikke bare verdien av din nåværende overvåkingsinvestering, men unngår også kostbare oppgraderinger når IT migreres.
Andre kraftige funksjoner utført av NPB inkluderer:
Redundante datapakker dedupliseres
Analyse- og sikkerhetsverktøy støtter mottak av et stort antall dupliserte pakker videresendt fra flere splittere. NPB kan eliminere duplisering for å forhindre at verktøy sløser med prosessorkraft når de behandler redundante data.
SSL-dekryptering
SSL-kryptering (Secure Socket Layer) er standardteknikken som brukes for å sende privat informasjon på en sikker måte. Hackere kan imidlertid også skjule ondsinnede cybertrusler i krypterte pakker.
Undersøkelse av disse dataene må dekrypteres, men dekomponering av koden krever verdifull prosessorkraft. Ledende nettverkspakkemeglere kan avlaste dekryptering fra sikkerhetsverktøy for å sikre generell synlighet samtidig som de reduserer belastningen på dyre ressurser.
Datamaskering
SSL-dekryptering gjør dataene synlige for alle med tilgang til sikkerhets- og overvåkingsverktøy. NPB kan blokkere kredittkort- eller personnummer, beskyttet helseinformasjon (PHI) eller annen sensitiv personlig identifiserbar informasjon (PII) før informasjonen sendes, slik at den ikke blir avslørt for verktøyet og dets administratorer.
Fjerning av overskrift
NPB kan fjerne overskrifter som VLAN, VXLAN og L3VPN, slik at verktøy som ikke kan håndtere disse protokollene fortsatt kan motta og behandle pakkedata. Kontekstbevisst synlighet bidrar til å oppdage ondsinnede applikasjoner som kjører på nettverket og fotavtrykkene som angripere etterlater seg når de arbeider i systemet og nettverket.
Applikasjons- og trusselintelligens
Tidlig oppdagelse av sårbarheter reduserer tap av sensitiv informasjon og til syvende og sist kostnader knyttet til sårbarheter. Den kontekstbevisste synligheten som NPB gir, kan brukes til å avdekke indikatorer på inntrenging (IOC), identifisere geolokaliseringen til angrepsvektorer og bekjempe kryptografiske trusler.
Applikasjonsintelligens strekker seg utover lag 2 til 4 (OSI-modell) av pakkedata opp til lag 7 (applikasjonslag). Rike data om bruker- og applikasjonsatferd og plassering kan opprettes og eksporteres for å forhindre angrep på applikasjonslaget der ondsinnet kode utgir seg for å være normale data og gyldige klientforespørsler.
Kontekstbevisst synlighet hjelper med å oppdage skadelige applikasjoner som kjører på nettverket ditt, og sporene angripere etterlater når de jobber gjennom systemet og nettverket ditt.
Applikasjonsovervåking
Synligheten av applikasjonsoppfatningen har også en betydelig innvirkning på ytelse og administrasjon. Kanskje du vil vite når ansatte brukte skybaserte tjenester som Dropbox eller nettbasert e-post for å omgå sikkerhetspolicyer og overføre bedriftsfiler, eller når tidligere ansatte prøvde å få tilgang til filer ved hjelp av skybaserte personlige lagringstjenester.
Fordelene med NPB
• Enkel å bruke og administrere
• Intelligens for å fjerne teamets byrder
• Ingen pakketap – kjører avanserte funksjoner
• 100 % pålitelighet
• Høy ytelsesarkitektur
Publiseringstidspunkt: 20. januar 2025
