Network World, США

Системы категории Network Behavior Analysis — новый тип инструментов обеспечения сетевой безопасности
Lancope StealthWatch представляет собой гибридную NBA-систему, базирующуюся на отслеживании подозрительных действий и анализе протоколов

Все больше и больше организаций сталкиваются с червями, вирусами, внутренними диверсиями и так называемыми атаками zero-day (когда информация об уязвимости появляется позже, чем находятся пути ее использования злоумышленниками). Поэтому в 2007 году ожидается спрос на новый тип средств обеспечения безопасности корпоративного уровня, анализирующих поведение сетей (Network Behavior Analysis, NBA). Системы категории NBA используют средства мониторинга трафика в сочетании с интеллектуальными инструментами защиты для обнаружения подозрительных действий в сети и предотвращения вызываемых этими действиями угроз.

Сейчас системы NBA, основными разработчиками которых являются компании Arbor Networks, Lancope, Mazu Networks, Q1 Labs и Cisco (со своим продуктом Monitoring, Analysis and Response System), становятся ключевым компонентом обеспечения безопасности сетей.

Равенство угроз

В отличие от ранее использовавшихся технологий, NBA предполагает единое отношение ко всем угрозам безопасности, как внутренним, так и внешним, и вне зависимости от того, было ли известно о них ранее. NBA отслеживает не только особенности угрозы, но и ее ход, что позволяет быстро и эффективно принимать необходимые меры.

Во многих компаниях сотрудники наделены широкими правами доступа в сети, в то время как права посторонних лиц ограниченны.

«Повышенное доверие к ?своим? вполне естественно, но, к сожалению, оно ставит под угрозу безопасность сети, потому что такой подход не основывается на рациональном анализе рисков», — считает Андреас Антонопулос, старший вице-президент компании Nemertes Research. Антонопулос уверен, что в 75% случаев источниками угрозы безопасности внутренней сети компании становятся сами сотрудники этой компании.

«У сотрудников компаний мотивом для внутренней атаки на сеть может быть, например, угроза увольнения или конфликт с начальством. Вкупе с тем, что сотрудники наделены большими правами, это создает определенную опасность», — сказал Антонопулос.

В продуктах NBA больше внимания уделяется поведению злоумышленника, а не его личности. Однажды выработав линию поведения при обнаружении той или иной угрозы, NBA могут определять подозрительный трафик вне зависимости от его источника.

«NBA разделяют пользователей на ?хороших? и ?плохих? не по тому, где они находятся — внутри или за пределами сети, — сказал Антонопулос. — NBA следят за всеми пользователями, будь то финансовый директор или сторож, и если их поведение вызывает подозрение, то, возможно, они могут нанести ущерб сети».

NBA в связке с традиционными инструментами защиты, такими как системы обнаружения и предотвращения вторжения, антивирусное программное обеспечение и сетевые экраны, дает более четкую информацию о безопасности сети почти в реальном времени.

«NBA позволяют специалистам получать больше информации о происходящих в сети событиях и адекватно отвечать на эти события, — сказал Стефан Эллиот, аналитик компании IDC. — NBA предлагают лучшие методы анализа рисков, их обнаружения и устранения».


Производители систем NBA

Сейчас системы анализирующих поведение сетей (Network Behavior Analysis, NBA) становятся ключевым компонентом обеспечения безопасности сетей

Arbor Networks — специализируется на обнаружении и предотвращении DDoS-атак. Ее продукты широко используются в сетях операторского класса. В 2004 году был запущен продукт PeakflowX, первый NBA-продукт компании для корпоративных сетей.

GraniteEdge Networks — предлагает многообещающую технологию связывания однотипных подозрительных событий в цепочки.

Lancope — ее продукт StealthWatch, один из первых NBA-продуктов, представляет собой гибридную NBA-систему, базирующуюся на отслеживании подозрительных действий и анализе протоколов.

Mazu Networks — представлена на рынке двумя продуктам — Profiler и Enforcer.

Q1 Labs — ее технология Qradar позволяет менеджерам по безопасности проводить анализ трафика сети в реальном времени, снабжая их такими данными, как тип трафика и производительность сети. Q1 предлагает одну из наиболее всеобъемлющих NBA-систем.