Η προσέγγιση των Security Analytics για την ασφάλεια των Big Data, όπου όλοι οι πόροι του δικτύου βρίσκονται υπό επιτήρηση και αναλύεται κάθε ενέργεια και συμπεριφορά, επιτρέπει την ανίχνευση απειλών που τα παραδοσιακά προγράμματα ασφαλείας δεν θα μπορούσαν να ανιχνεύσουν.
Στις μέρες οι κυβερνοαπειλές έχουν εξελιχθεί αλλάζοντας επίπεδο φιλοσοφίας και στόχων. Οι σημερινοί χάκερς δεν ανήκουν στην γενιά που διασκέδαζε προκαλώντας τριγμούς στα διάφορα δίκτυα, αλλά είναι πλέον καλά αμειβόμενοι επαγγελματίες, με άριστη εκπαίδευση και υψηλά κίνητρα, οι οποίοι χρησιμοποιούν εξελιγμένες τεχνικές για να εισέλθουν σε κρίσιμες εταιρικές υποδομές. Στον τομέα της ασφαλείας δεδομένων, διαπιστώνεται ότι τα παραδοσιακά συστήματα προστασίας έχουν ηττηθεί σχετικά εύκολα από τη νέα γενιά απειλών. Σχεδόν καθημερινά, καταγράφονται συμβάντα παραβίασης εταιρικών δικτύων με υψηλή τεχνική κατάρτιση, κυβερνητικών οργανισμών, αλλά ακόμη και δικτύων που ανήκουν σε εταιρίες οι οποίες παρέχουν υπηρεσίες δικτυακής ασφαλείας.
Παράλληλα ο τεράστιος όγκος δεδομένων – Big Data – που πολλοί οργανισμοί καλούνται να διαχειριστούν έχουν δημιουργήσει μια νέα πραγματικότητα που απαιτεί νέες προσεγγίσεις σχετικά με την ασφάλεια πληροφοριών.
Στον τομέα των Big Data λοιπόν, η προσέγγιση Security Analytics θεωρείται η πλέον αποτελεσματική. Η προσέγγιση αυτή βασίζεται στον εντοπισμό και την ανάλυση κάθε πακέτου που διασχίζει το εταιρικό δίκτυο, προσφέροντας έτσι ένα επιπρόσθετο επίπεδο ασφάλειας και ανιχνεύοντας απειλές που μέχρι πρόσφατα ήταν αόρατες. Σε αντίθεση με τις συσκευές ασφάλειας, που επιθεωρούν ένα μόνο μέρος της κίνησης του εταιρικού δικτύου και ασχολούνται μόνο με συγκεκριμένα πακέτα που βρίσκονται στο σημείο της επίθεσης, η μέθοδος Security Analytics επιβλέπει και αναλύει όλη τη δικτυακή κίνηση πριν, κατά τη διάρκεια, αλλά και μετά την επίθεση.
Πώς υλοποιείται;
Η ενσωμάτωση μιας πλατφόρμας Security Analytics σε ένα εταιρικό δίκτυο ισοδυναμεί με τη χρήση ενός κλειστού κυκλώματος παρακολούθησης μέσω κάμερας, που χρησιμοποιείται στις φυσικές δομές μιας εταιρίας. Η πλατφόρμα είναι δηλαδή πάντοτε ενεργή και καταγράφει τη δραστηριότητα του δικτύου 24 ώρες το εικοσιτετράωρο, 7 μέρες την εβδομάδα, χωρίς καμία διακοπή.
Μια λύση Security Analytics στόχο έχει να υποστηρίζει τις ανάγκες ασφάλειας σε επιχειρήσεις και οργανισμών υψηλών απαιτήσεων. Με υψηλές ταχύτητες καταγράφει και αρχειοθετεί όλα τα δεδομένα στο δίκτυο που προέρχονται από αρχεία και εφαρμογές, όλα τα πακέτα συμπεριλαμβανομένων, του φόρτου κίνησης στα διάφορα σημεία του δικτύου και όλων των λεπτομερειών των επιπέδων 2 έως 7 του OSI. Έτσι, παρέχει κάθε στιγμή, ένα πλήρες και αναλυτικό ιστορικό για όλη τη δραστηριότητα στο δίκτυο. Επιπρόσθετα, οι πλατφόρμες Security Analytics προσφέρουν ανάλυση συμβάντων πραγματικού χρόνου ή ετεροχρονισμένη ανάλογα με τις απαιτήσεις ελέγχου. Φυσικά, πρέπει να σημειωθεί ότι όλες αυτές οι καταγραφές απαιτούν σημαντικό αποθηκευτικό χώρο μιας και μπορεί να καταγραφούν δεδομένα της τάξης των terabytes ανάλογα με την κίνηση του δικτύου και του βάθους χρόνου της ανάλυσης.
Παράμετροι μιας πλατφόρμας Security Analytics
Οι πάροχοι των Security Analytics προσφέρουν λύσεις ασφαλείας για τρεις βασικούς άξονες μιας εταιρικής δομής: τις φυσικές συσκευές, τις virtual συσκευές και το λογισμικό. Μέσα από αυτές τις επιλογές κάθε οργανισμός έχει τη δυνατότητα να επιλέξει την ιδανική πλατφόρμα για τις ανάγκες του.
Φυσικές συσκευές: Οι περισσότεροι οργανισμοί υιοθετούν τη λύση Security Analytics που παρέχεται μέσω συσκευών ειδικού σκοπού, ώστε να επιτευχθεί ένα υψηλό επίπεδο απόδοσης. Με αυτή την επιλογή το εκάστοτε ΙΤ τμήμα κάθε επιχείρησης δεν χρειάζεται να σπαταλήσει εργατοώρες επιλέγοντας το υλικό, εγκαθιστώντας και διαμορφώνοντας το κατάλληλο λογισμικό, μιας και η λύση είναι ολοκληρωμένη και παρέχει προεγκατεστημένο το λειτουργικό σύστημα.
Virtual συσκευές: Εάν το εταιρικό δίκτυο συμπεριλαμβάνει virtual δομή (όπως είναι οι VMware ESX, Citrix XenServer, Windows Hyper-V και KVM), απαιτείται ο ενδελεχής έλεγχος της κίνησης μεταξύ των virtual συσκευών που την απαρτίζουν. Διαφορετικά θα αποτελούν ένα τυφλό σημείο στο δίκτυο και φυσικά η πλατφόρμα Security Analytics δεν θα παρέχει ικανοποιητικά αποτελέσματα. Απαιτείται λοιπόν η επιλογή λύσης που να μην περιορίζεται μόνο στις φυσικές συσκευές αλλά να συμπεριλαμβάνει έλεγχο στο virtual περιβάλλον της, ώστε να επιβλέπεται η κίνηση μεταξύ VMs.
Λογισμικό: Ορισμένοι οργανισμοί προτιμούν να επιλέξουν μόνοι τους τις συσκευές που θα φιλοξενήσουν την πλατφόρμα Security Analytics. Είτε γιατί διαθέτουν ήδη ένα μεγάλο εύρος από τέτοιες συσκευές, είτε γιατί είναι υποχρεωμένοι να επιλέξουν υλικό από συγκεκριμένους παρόχους (σε κυβερνητικούς οργανισμούς οι συσκευές επιλέγονται μέσα από μια προεγκεκριμένη λίστα παρόχων), αυτοί οι οργανισμοί υποχρεούνται να καταφύγουν στη λύση λογισμικού Security Analytics. Σε αυτή την περίπτωση το τμήμα ΙΤ οφείλει να εγκαταστήσει, να διαμορφώσει και να διατηρήσει το σύστημα στα επιθυμητά επίπεδα απόδοσης και λειτουργίας.
Τέλος, προτείνεται κατά την επιλογή πλατφόρμας , να επιλεγεί λύση που προσφέρει χρονικό περιθώριο τουλάχιστον 30 ημερών καταγραφής της κίνησης του δικτύου.
Κοινά χαρακτηριστικά
Όλες οι λύσεις Security Analytics που προσφέρονται στην αγορά δεν είναι ίδιες. Η αξιολόγηση κάθε πλατφόρμας οφείλει να περιλαμβάνει τα βασικά αλλά και τα εξελιγμένα χαρακτηριστικά που διαθέτουν και η τελική επιλογή να γίνει με γνώμονα τις απαιτήσεις ασφάλειας του κάθε οργανισμού. Ορισμένα από τα βασικά χαρακτηριστικά που προσφέρονται είναι:
Διαδραστική πλατφόρμα: Ο τρόπος επικοινωνίας της πλατφόρμας με το χρήστη είναι από τα πιο σημαντικά χαρακτηριστικά της και πρέπει να εξεταστεί με προσοχή. Μέσω της οθόνης παρακολούθησης ο χρήστης μπορεί να επιβλέπει το σύστημα και να ανιχνεύει πιθανές απειλές. Στις πιο εξελιγμένες πλατφόρμες Security Analytics, διατίθενται προεγκατεστημένες εφαρμογές καθώς και μια βιβλιοθήκη widgets, ώστε ο χρήστης να διαμορφώνει κατά το επιθυμητό τις πληροφορίες που αντλεί από την πλατφόρμα. Για παράδειγμα ορισμένα widgets μπορούν να προσφέρουν έναν πίνακα με όλα τα καταγεγραμμένα δεδομένα σε ένα ορισμένο χρονικό διάστημα ή ένα διάγραμμα αυτών (πίτα, ράβδοι κ.α.).
Παγκόσμιο threat intelligence : Προσφάτως οι λύσεις Security Analytics, εξελίχθηκαν από την απλή διερεύνηση απειλών μέσα σε ένα σύστημα, σε λύσεις που επιτυγχάνουν ανίχνευση γενικευμένων διαδικτυακών απειλών που άλλες μορφές προστασίας δεν μπορούν να εντοπίσουν. Για να επιτύχουν το στόχο αυτό, οι σύγχρονες πλατφόρμες Security Analytics, έχουν ενσωματώσει χαρακτηριστικά εντοπισμού παγκόσμιων απειλών σε πραγματικό χρόνο, μέσω λήψης πληροφοριών από άλλα αντίστοιχα συστήματα. Οι πληροφορίες αυτές περιλαμβάνουν όλα τα σημεία κλειδιά που βοηθούν στον εντοπισμό μιας απειλής που έχει ήδη καταγραφεί σε κάποιο άλλο σύστημα, όπως είναι η ΙΡ διεύθυνση, το URL και η γεωγραφική θέση της μετάδοσης και διασποράς του κακόβουλο λογισμικού.
Κανόνες και ειδοποιήσεις: Οι περισσότερες πλατφόρμες Security Analytics επιτρέπουν στους χρήστες τους να θέσουν τους δικούς τους κανόνες και να ορίσουν τις δικές τους ειδοποιήσεις σχετικά με τα συμβάντα που λαμβάνουν χώρα στο σύστημά τους. Ως κανόνας ορίζεται μια ενεργεία που θα εκτελεστεί όταν η καταγεγραμμένη κίνηση στο δίκτυο ικανοποιήσει μια συγκεκριμένη συνθήκη. Για παράδειγμα ο εντοπισμός επικοινωνίας με ένα ήδη γνωστό κακόβουλο site και οι ενέργειες που πρέπει να υλοποιηθούν για να απομακρυνθεί ο κίνδυνος. Ως ειδοποίηση ορίζεται η ενημέρωση του χρήστη ότι ένας από τους κανόνες του έχει ενεργοποιηθεί. Οι ειδοποιήσεις εμφανίζονται στην οθόνη της πλατφόρμας και επίσης μπορούν να σταλούν μέσω γραπτού μηνύματος ή email στον χρήστη.
Περιεκτικές Αναφορές: Είναι σημαντικό η πληθώρα των δεδομένων που συγκεντρώνει μια πλατφόρμα Security Analytics, να μπορούν να παρουσιαστούν στο χρήστη με έναν τρόπο κατανοητό. Κάθε οργανισμός έχει διαφορετικές ανάγκες και δομή και απαιτεί διαφορετικές πληροφορίες για το δίκτυο του. Μια σύγχρονη πλατφόρμα προσφέρει αυτές τις πληροφορίες μέσω αναφορών, που είτε υπάρχουν έτοιμες από την πλατφόρμα, είτε διαμορφώνονται από το χρήστη. Οι αναφορές περιλαμβάνουν τις ακόλουθες λεπτομέρειες:
- Χαρακτηρισμός και αναγνώριση της κίνησης του δικτύου που παράγεται από συγκεκριμένες διαδικτυακές εφαρμογές, όπως το Webmail.
- Τις διευθύνσεις του αποστολέα και παραλήπτη καθώς και τους τίτλους θέματος σε όλη την ηλεκτρονική αλληλογραφία της επιχείρησης.
- Τα ονόματα χρηστών ή λογαριασμών που χρησιμοποιούνται σε εφαρμογές chat και σε όλα τα social media.
- Τα χαρακτηριστικά των αρχείων συμπεριλαμβανομένων των ονομάτων, των τύπων MIME, του περιεχομένου και του τρόπου μετάδοσης.
- Τις διευθύνσεις IPv4 και IPv6 αποστολέα και παραλήπτη, καθώς και τη γεωγραφική τους θέση.
- Τα ονόματα των HTTP server, τους αριθμούς των θυρών, τα κοινά ονόματα του SSL και τα πλήρη URLs.
Ερωτήματα αναζήτησης: Οι σύγχρονες πλατφόρμες Security Analytics επιτρέπουν στον χρήστη να αποθηκεύει τα ερωτήματα αναζήτησης που θέτει για μελλοντική χρήση. Έτσι, μπορεί κάθε φορά γρήγορα να αναζητά τις επιθυμητές πληροφορίες που θα τον βοηθήσουν να ανιχνεύσει ύποπτη κίνηση η απειλή στο δίκτυο του.
Διατήρηση Metadata: Ο υπεύθυνος για την ασφάλεια ενός δικτύου επιθυμεί εκτός από το να αναλύει την κίνηση και τη συμπεριφορά του συστήματος του σε βάθος μερικών ημερών, να μπορεί να εκτελέσει ανάλυση σε βάθος χρόνου, ώστε να αξιολογήσει αν υπάρχει κάποιου είδους ύποπτη συμπεριφορά σε σύγκριση με την παλαιότερη. Δυστυχώς, η αποθήκευση δεδομένων που μπορεί να αφορούν τη συμπεριφορά του δικτύου για το προηγούμενο έτος, δεν είναι ρεαλιστική μιας και δεν θα επαρκούσε ο χώρος αποθήκευσης.
Παρόλα αυτά η πλατφόρμα Security Analytics δίνει τη δυνατότητα διατήρησης Metadata και επιτρέπει στους υπεύθυνος να αφιερώσουν ένα μέρος του αποθηκευτικού χώρου τους σε αυτά. Με αυτή τη δυνατότητα οι αναλυτές μπορούν να διατηρήσουν τα πλήρη δεδομένα της κίνησης του δικτύου για όσο χρονικό διάστημα θεωρούν ικανοποιητικό (μια βδομάδα ή ένα μήνα) και ταυτόχρονα να διατηρήσουν σημαντικές πληροφορίες για τη συμπεριφορά του δικτύου στο επιθυμητό βάθος χρόνου μέσω των metadata.
Εξελιγμένα χαρακτηριστικά
Τα προαναφερόμενα χαρακτηριστικά διατίθενται σχεδόν σε όλες τις πλατφόρμες security analytics. Υπάρχουν όμως δυνατότητες που παρέχονται από λίγες και εξελιγμένες εκδόσεις, οι οποίες είναι:
Εντοπισμός θέσης: Η δυνατότητα του εντοπισμού θέσης (geolocation) επιτρέπει στην πλατφόρμα να προσδιορίζει τη γεωγραφική τοποθεσία στην οποία βρίσκεται ένας υπολογιστής ή μία συσκευή που είναι συνδεδεμένα στο internet. Η δυνατότητα παρέχεται ώστε να επιτραπεί στον χρήστη να εντοπίσει την αφετηρία, τον προορισμό και την ροή της διαδικτυακής κίνησης που τον αφορά.
Με τον εντοπισμό θέσης οι αναλυτές μπορούν να αναγνωρίσουν μοτίβα συμπεριφοράς και να εντοπίσουν τα σημεία συμφόρησης της δικτυακής ροής, από και προς προορισμούς οι οποίοι θεωρούνται ύποπτοι, όπως π.χ. ροή από χώρες με τις οποίες δεν συνάπτεται εταιρική συνεργασία. Επιπρόσθετα, οι αναλυτές μπορούν να επικεντρωθούν με λεπτομέρεια σε ορισμένα μονοπάτια της ροής και να επισημάνουν τις ΙΡ διευθύνσεις, την τοποθεσία ή ακόμα και τις χώρες που θεωρούν ότι παρουσιάζουν ύποπτη συμπεριφορά. Τέλος, στις πιο εξελιγμένες πλατφόρμες οι χρήστες επιτρέπεται να εισάγουν αυτές τις πληροφορίες απευθείας στο Google Earth.
Αναζήτηση αφετηρίας: Όταν εντοπιστεί πιθανή εισβολή στο εταιρικό δίκτυο είναι η στιγμή που ο χρόνος ξεκινά να μετρά αντίστροφα. Η διαδικασία εντοπισμού και διόρθωσης κάθε πιθανής μόλυνσης πρέπει να τελεστεί τάχιστα ώστε να μην εξαπλωθεί επικίνδυνα και για να επιταχυνθούν οι ενέργειες προσφέρεται η δυνατότητα αναζήτησης της «ρίζας» του προβλήματος. Με αυτό το χαρακτηριστικό αυτοματοποιείται η αναγνώριση της πραγματικής διασύνδεσης ή του αρχείου που προκάλεσε το περιστατικό. Έτσι, οι αναλυτές εντοπίζουν γρήγορα το σημείο από το οποίο ξεκίνησε το πρόβλημα και μπορούν να το επιλύσουν σε πολύ λιγότερο χρονικό διάστημα.
Παραμετροποιημένη ανίχνευση και διαβάθμιση του κινδύνου: Οι προηγμένες πλατφόρμες security analytics επιτρέπουν στους χρήστες τους να καθορίζουν, αν το επιθυμούν, συμπληρωματικές ανιχνεύσεις απειλών πέραν αυτών που ήδη παρέχονται. Ουσιαστικά επιτρέπεται στους χρήστες να παραμετροποιούν ανιχνεύσεις που αφορούν τη διαδικτυακή κίνηση, την ηλεκτρονική αλληλογραφία και την αποθήκευση των αρχείων. Όταν εντοπίζεται απειλή σε έναν ή περισσότερους από τους προαναφερόμενους τομείς, ορίζεται ένας βαθμός επικινδυνότητας, ο οποίος βοηθά τους αναλυτές να θέσουν την σωστή προτεραιότητα ενασχόλησης και επίλυσης κάθε προβλήματος.
Ανακατασκευή αρχείων: Πολλές λύσεις security analytics επιτρέπουν στους χρήστες να ανακατασκευάσουν τα αρχικά έγγραφα, εικόνες ή εκτελέσιμα αρχεία που διέσχισαν το δίκτυο και θεωρήθηκαν ύποπτα. Επιπρόσθετα, επειδή πληθώρα απειλών προέρχεται μέσα από επικίνδυνες ιστοσελίδες ή από συνδέσμους που καταφτάνουν στα emails των χρηστών ή τους λογαριασμούς προσωπικών άμεσων μηνυμάτων, θεωρείται υψίστης σημασίας η πλατφόρμα security analytics να διαθέτει χαρακτηριστικά ανακατασκευής των αρχικών ιστοσελίδων ή μηνυμάτων τα οποία μπορεί να αποτελούν την πηγή μιας μόλυνσης, για να διευκολύνεται ο έλεγχος και ο εντοπισμός τους.
Στις πιο εξελιγμένες λύσεις προσφέρεται αυτού του είδους η ανακατασκευή. Η πλήρης αποκατάσταση του αρχικού αρχείου είναι εφικτή γιατί κάθε πακέτο καταγράφεται, κατηγοριοποιείται και αρχειοθετείται. Φυσικά, όλες αυτές οι καταγραφές συνεπάγονται τη μετακίνηση και αποθήκευση ενός τεράστιου όγκου δεδομένων, και γι’ αυτό μόνο οι καλύτερες πλατφόρμες παρέχουν ανακατασκευή των αρχείων σε πραγματικό χρόνο. Με αυτή τη δυνατότητα επιτρέπεται στους αναλυτές να αντιδράσουν όσο το δυνατόν συντομότερα κατά την ανίχνευση μιας απειλής.
Σημειώνεται, ότι η ανακατασκευή των αρχείων είναι μία πολύτιμη δυνατότητα για την εξακρίβωση απώλειας των ευαίσθητων ή απόρρητων εταιρικών δεδομένων, σε μία πιθανή παραβίαση του δικτύου. Ειδικότερα, όταν η εταιρία πρέπει να δημοσιεύσει την παραβίαση του δικτύου της, αποκτά ιδιαίτερη σπουδαιότητα να μπορεί να παραθέσει τον όγκο των δεδομένων που απωλέσθηκαν. Επιπρόσθετα, η δυνατότητα εξυπηρετεί στον καθορισμό του μεγέθους της αντίδρασης απέναντι στα πραγματικά γεγονότα και όχι σε εικασίες απώλειας, ώστε να μην σημειωθούν υπερβολές αν διέφυγαν 10 αρχεία ή να μην υπάρξει ολιγωρία αν η απώλεια ήταν 1.000.000 εγγραφές.
Συνεργασία με «τρίτο κατασκευαστή»: Οποιαδήποτε ΙΤ λύση ασφάλειας δεν μπορεί να εργάζεται αποκομμένη από το περιβάλλον της και οφείλει να επικοινωνεί με όσες περισσότερες πλατφόρμες ασφαλείας είναι δυνατόν. Με αυτόν τον τρόπο απλοποιείται η διαδικασία επίβλεψης, αυξάνεται η αποτελεσματικότητα της και περιορίζεται το κόστος απόκτησής της.
Στις πιο εξελιγμένες πλατφόρμες security analytics παρέχονται εφαρμογές προγραμματιστικής διασύνδεσης (APIs) για συνεργασία με γνωστά SIEM,IPS, firewall επόμενης γενιάς (NGFW), συσκευές ανάλυσης κακόβουλου λογισμικού, πλατφόρμες ενοποιημένης διαχείρισης απειλών (UTM) κ.α.
Ορισμένοι πάροχοι security analytics προσφέρουν μία εφαρμογή καθολικής διασύνδεσης που ενσωματώνεται σε γνωστούς web browsers . Όταν ο χρήστης εντοπίσει μία ύποπτη συμπεριφορά με το παραδοσιακό ΙΤ προϊόν ασφαλείας, μπορεί να επιλέξει την εφαρμογή στον browser του και να παρατηρήσει επιλεκτικά την δικτυακή κίνηση στο επιλεγμένο σημείο μέσω της πλατφόρμας security analytics. Οι συνδέσεις αυτές εξοικονομούν χρόνο στους αναλυτές μιας και επισπεύδουν την διαδικασία ανάλυσης των ύποπτων ενδείξεων.
Αναπτύσσοντας μια λύση security analytics
Αφού επιλεχθεί η κατάλληλη λύση security analytics για την εκάστοτε εταιρία, η οποία φέρει εκείνα τα βασικά και προηγμένα χαρακτηριστικά που καλύπτουν τις ανάγκες της, ακολουθεί η επόμενη διεργασία που αφορά την εισαγωγή της πλατφόρμας στο υπάρχον εταιρικό δίκτυο. Παρακάτω ακολουθεί ανάλυση των βασικών τμημάτων ενασχόλησης:
Μέγεθος: Είτε η λύση security analytics εισαχθεί στην εταιρία μέσω συσκευών ειδικού σκοπού, είτε ενσωματωθεί στο ήδη υπάρχον υλικό της εταιρίας, οφείλεται να εξασφαλισθεί εκ των προτέρων ότι διατίθενται η απαραίτητη επεξεργαστική ισχύς, η μνήμη και ο αναγκαίος αποθηκευτικός χώρος για τη βέλτιστη λειτουργία της πλατφόρμας. Αν οι παρεχόμενοι πόροι δεν επαρκούν ορισμένες δυνατότητες της πλατφόρμας θα υπολειτουργούν και έτσι δεν θα προσφέρονται όλα τα απαραίτητα δεδομένα για ανάλυση κινδύνου πραγματικού χρόνου.
Θύρες SPAN και δικτυώσεις TAP: Η πιο συνήθης μέθοδος για να αποκτήσουν οι συσκευές security analytics πλήρη εποπτεία του δικτύου είναι να συνδεθούν με τις θύρες SPAN στους μεταγωγείς. Οι θύρες SPAN αναπαράγουν όλη την κίνηση που διέρχεται από τον μεταγωγέα, τυπικά προς όφελος της δικτυακής ασφάλειας και της απόδοσης των εργαλείων προστασίας. Στον αντίποδα, η ενεργοποίηση των SPAN θυρών επηρεάζει αρνητικά τις επιδόσεις του μεταγωγέα που τις φέρει.
Αν οι θύρες SPAN των μεταγωγέων χρησιμοποιούνται ήδη από κάποιο άλλο εταιρικό εργαλείο ασφάλειας ή οι μεταγωγείς βρίσκονται στα λειτουργικά τους όρια, μπορεί να χρησιμοποιηθεί μία δικτύωση τύπου TAP (μεταξύ router-switch ή switch-switch) ώστε να αναπαράγεται η δικτυακή κίνηση στην security analytics συσκευή. Με τις νέες μεθόδους TAP ( network packet brokers-NPB) επιτρέπεται η αναπαραγωγή της κίνησης από πολλαπλές θύρες SPAN ή TAP συνδέσεις σε μία μόνο security analytics συσκευή.
Υποστήριξη κατανεμημένη αρχιτεκτονικής: Η λύση security analytics παρέχεται και με κατανεμημένη αρχιτεκτονική για να υποστηρίξει μεγάλους οργανισμούς που ενδεχόμενα παρουσιάζουν και γεωγραφική διασπορά. Σε αυτή την περίπτωση χρησιμοποιείται μία κεντρική κονσόλα η οποία διαχειρίζεται όλες τις security analytics συσκευές, συμπεριλαμβανομένων των virtual συσκευών και των servers. Η κονσόλα διατηρεί την γενικότερη επίβλεψη της δικτυακής ροής και παράγει συνολικές αναφορές μέσω των δεδομένων που συγκεντρώνει, από τις διαφορετικές πηγές του συστήματος.
Απομάκρυνση των τυφλών σημείων του SSL: Είναι γνωστό ότι οι απειλές με στόχο την αυξημένη διεισδυτικότητα, συχνά χρησιμοποιούν τεχνικές κρυπτογράφησης για να περάσουν απαρατήρητες. Γι αυτό το λόγο πρέπει η λύση security analytics να διαθέτει μία συσκευή SSL, ώστε να επιβλέπεται και να αποκρυπτογραφείται αποτελεσματικά όλη η SSL κίνηση. Έτσι, μεγιστοποιείται η αποτελεσματικότητα της ανίχνευσης εξελιγμένων απειλών και της διαφυγής αρχείων προς το εξωτερικό δίκτυο.
Η επιλογή μίας πλατφόρμας security analytics αποτελεί σοβαρή επιλογή και προϋποθέτει εκτενή μελέτη προτού ληφθεί η τελική απόφαση. Η μελέτη οφείλεται να στραφεί τόσο στις εταιρικές ανάγκες, όσο και στα χαρακτηριστικά κάθε λύσης που βρίσκεται στην αγορά. Τέλος, πρέπει να συνεκτιμηθεί και ο πάροχος της πλατφόρμας και να αξιολογηθεί το κατά πόσον προσφέρονται οι δυνατότητες που θεωρητικά αγοράζεται.
Της Παναγιώτας Τσώνη