Garantire la sicurezza delle reti in un ambiente IT in rapida evoluzione e in un contesto di utenti in continua trasformazione richiede una gamma di strumenti sofisticati per eseguire analisi in tempo reale. La vostra infrastruttura di monitoraggio potrebbe includere il monitoraggio delle prestazioni di rete e delle applicazioni (NPM/APM), data logger e analizzatori di rete tradizionali, mentre i vostri sistemi di difesa si avvalgono di firewall, sistemi di protezione dalle intrusioni (IPS), sistemi di prevenzione della perdita di dati (DLP), antivirus e altre soluzioni.
Per quanto specializzati possano essere gli strumenti di sicurezza e monitoraggio, hanno tutti due cose in comune:
• È necessario sapere esattamente cosa sta succedendo nella rete
• I risultati dell'analisi si basano solo sui dati ricevuti
Un sondaggio condotto dall'Enterprise Management Association (EMA) nel 2016 ha rilevato che quasi il 30% degli intervistati non si fidava dei propri strumenti per la ricezione di tutti i dati necessari. Ciò significa che esistono punti ciechi nel monitoraggio della rete, che in definitiva portano a sforzi vani, costi eccessivi e un rischio maggiore di subire attacchi informatici.
La visibilità richiede di evitare investimenti inutili e punti ciechi nel monitoraggio della rete, il che implica la raccolta di dati rilevanti su tutto ciò che accade nella rete. Gli splitter e le porte mirror dei dispositivi di rete, noti anche come porte SPAN, diventano i punti di accesso utilizzati per acquisire il traffico a scopo di analisi.
Si tratta di un'operazione relativamente "semplice"; la vera sfida consiste nel trasferire in modo efficiente i dati dalla rete a ogni strumento che ne ha bisogno. Se si dispone solo di pochi segmenti di rete e di un numero relativamente limitato di strumenti di analisi, i due possono essere collegati direttamente. Tuttavia, data la velocità con cui le reti continuano a espandersi, anche se logicamente possibile, è probabile che questa connessione uno a uno si trasformi in un incubo gestionale ingestibile.
Secondo un rapporto dell'EMA, il 35% delle aziende ha indicato la carenza di porte SPAN e splitter come motivo principale per cui non è possibile monitorare completamente i segmenti di rete. Anche le porte sugli strumenti di analisi di fascia alta, come i firewall, potrebbero essere più scarse, quindi è fondamentale evitare di sovraccaricare le apparecchiature e di comprometterne le prestazioni.
Perché hai bisogno di Network Packet Broker?
Il Network Packet Broker (NPB) viene installato tra lo splitter o le porte SPAN utilizzate per accedere ai dati di rete, nonché agli strumenti di sicurezza e monitoraggio. Come suggerisce il nome, la funzione principale del Network Packet Broker è quella di coordinare i dati dei pacchetti di rete per garantire che ogni strumento di analisi ottenga con precisione i dati di cui ha bisogno.
NPB aggiunge un livello di intelligenza sempre più critico che riduce costi e complessità, aiutandoti a:
Per ottenere dati più completi e accurati per un migliore processo decisionale.
Il broker di pacchetti di rete con funzionalità di filtraggio avanzate viene utilizzato per fornire dati accurati ed efficaci ai vostri strumenti di monitoraggio e analisi della sicurezza.
Misure di sicurezza più rigorose
Quando non si riesce a rilevare una minaccia, è difficile fermarla. NPB è progettato per garantire che firewall, IPS e altri sistemi di difesa abbiano sempre accesso ai dati esatti di cui hanno bisogno.
Risolvere i problemi più velocemente
In realtà, la semplice identificazione del problema rappresenta l'85% del tempo medio di ripristino (MTTR). I tempi di inattività si traducono in perdite economiche e una gestione inadeguata può avere un impatto devastante sulla tua attività.
Il filtro contestuale fornito da NPB ti aiuta a scoprire e determinare più rapidamente la causa principale dei problemi grazie all'introduzione di funzionalità di intelligenza applicativa avanzate.
Aumentare l'iniziativa
I metadati forniti da Smart NPB tramite NetFlow facilitano inoltre l'accesso a dati empirici per gestire l'utilizzo della larghezza di banda, le tendenze e la crescita, in modo da stroncare il problema sul nascere.
Migliore ritorno sull'investimento
Smart NPB non solo è in grado di aggregare il traffico proveniente da punti di monitoraggio come gli switch, ma anche di filtrare e raccogliere i dati per migliorare l'utilizzo e la produttività degli strumenti di sicurezza e monitoraggio. Gestendo solo il traffico rilevante, è possibile migliorare le prestazioni degli strumenti, ridurre la congestione, minimizzare i falsi positivi e ottenere una maggiore copertura di sicurezza con un numero inferiore di dispositivi.
Cinque modi per migliorare il ROI con i Network Packet Broker:
• Risoluzione dei problemi più rapida
• Rilevare le vulnerabilità più rapidamente
• Ridurre il carico degli strumenti di sicurezza
• Prolungare la durata degli strumenti di monitoraggio durante gli aggiornamenti
• Semplificare la conformità
Che cosa può fare esattamente l'NPB?
Aggregare, filtrare e distribuire i dati sembra semplice in teoria. Ma in realtà, un NPB intelligente può svolgere funzioni molto complesse, con conseguenti vantaggi esponenzialmente maggiori in termini di efficienza e sicurezza.
Una delle funzioni è il bilanciamento del carico del traffico. Ad esempio, se si aggiorna la rete del data center da 1 Gbps a 10 Gbps, 40 Gbps o velocità superiori, l'NPB può rallentare la connessione per allocare il traffico ad alta velocità a un gruppo esistente di strumenti di monitoraggio analitico a bassa velocità (1 Gbps o 2 Gbps). Questo non solo estende il valore dell'investimento di monitoraggio esistente, ma evita anche costosi aggiornamenti durante la migrazione IT.
Tra le altre potenti funzionalità offerte da NPB si annoverano:
I pacchetti di dati ridondanti vengono deduplicati
Gli strumenti di analisi e sicurezza supportano la ricezione di un elevato numero di pacchetti duplicati inoltrati da più splitter. NPB può eliminare le duplicazioni per evitare che gli strumenti sprechino potenza di elaborazione durante l'elaborazione di dati ridondanti.
Decrittazione SSL
La crittografia Secure Socket Layer (SSL) è la tecnica standard utilizzata per inviare informazioni private in modo sicuro. Tuttavia, gli hacker possono anche nascondere minacce informatiche dannose all'interno dei pacchetti crittografati.
L'esame di questi dati richiede la decrittazione, ma la decodifica del codice necessita di una preziosa potenza di calcolo. I principali broker di pacchetti di rete possono delegare la decrittazione agli strumenti di sicurezza, garantendo così una visibilità completa e riducendo al contempo il carico su risorse costose.
Mascheramento dei dati
La decrittazione SSL rende i dati visibili a chiunque abbia accesso agli strumenti di sicurezza e monitoraggio. L'NPB può bloccare i numeri di carta di credito o di previdenza sociale, le informazioni sanitarie protette (PHI) o altre informazioni personali sensibili (PII) prima di trasmettere i dati, in modo che non vengano divulgate allo strumento e ai suoi amministratori.
Rimozione dell'intestazione
NPB può rimuovere intestazioni come VLAN, VXLAN, L3VPN, in modo che gli strumenti che non sono in grado di gestire questi protocolli possano comunque ricevere ed elaborare i dati dei pacchetti. La visibilità contestuale aiuta a scoprire le applicazioni dannose in esecuzione sulla rete e le tracce lasciate dagli aggressori mentre operano nel sistema e nella rete.
Intelligence applicativa e sulle minacce
L'individuazione precoce delle vulnerabilità riduce la perdita di informazioni sensibili e, in definitiva, i costi ad esse associati. La visibilità contestuale fornita da NPB può essere utilizzata per scoprire indicatori di intrusione (IOC), identificare la geolocalizzazione dei vettori di attacco e contrastare le minacce crittografiche.
L'intelligence applicativa si estende oltre i livelli da 2 a 4 (modello OSI) dei dati dei pacchetti, fino al livello 7 (livello applicativo). È possibile creare ed esportare dati dettagliati sul comportamento e sulla posizione di utenti e applicazioni per prevenire attacchi a livello applicativo, in cui codice dannoso si maschera da dati normali e richieste client valide.
La visibilità contestuale aiuta a scoprire le applicazioni dannose in esecuzione sulla rete e le tracce lasciate dagli aggressori mentre operano all'interno del sistema e della rete.
Monitoraggio delle applicazioni
La visibilità della percezione delle applicazioni ha un impatto profondo anche sulle prestazioni e sulla gestione. Ad esempio, potreste voler sapere quando i dipendenti hanno utilizzato servizi basati sul cloud come Dropbox o la posta elettronica via web per aggirare le politiche di sicurezza e trasferire file aziendali, o quando ex dipendenti hanno tentato di accedere a file utilizzando servizi di archiviazione personali basati sul cloud.
I vantaggi dell'NPB
• Facile da usare e da gestire
• Intelligenza per alleggerire il carico di lavoro del team
• Nessuna perdita di pacchetti: esegue funzionalità avanzate
• Affidabilità al 100%
• Architettura ad alte prestazioni
Data di pubblicazione: 20 gennaio 2025
