BANK 2022/11

Raport Specjalny | IT@BANK 2022 – Wingu – Arista | Bezpieczeństwo IT nowej generacji – rozwiązanie zero trust Arista DFX

| Wingu| Arista
Raport Specjalny | IT@BANK 2022 – Wingu – Arista | Bezpieczeństwo IT nowej generacji – rozwiązanie zero trust Arista DFX
Fot. stock.adobe.com/Tierney
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Cyfrowa transformacja charakteryzująca się wzrostem wielkości centrów danych, przepustowości łączy, ruchu i rosnącą ilością cyberataków to rzeczywistość przekładająca się na dzisiejsze potrzeby banków, szczególnie w obszarze szeroko rozumianego bezpieczeństwa IT. Monitoring sieci w celu zapewnienia wydajności, integralności infrastruktury - to potrzeby chwili, przekładające się na wymagania biznesowe. Rozwiązania technologiczne nowej generacji mogą sprostać tym wyzwaniom.

Artykuł opracowany przez ekspertów Wingu i Arista

Zmiana stylu pracy spowodowana pandemią SARS-CoV-2 oraz ilość, stopnie zaawansowania i personalizacji cyberataków na niespotykaną dotąd skalę, stawiają przed firmami dodatkowe wyzwania związane z zapewnieniem bezpieczeństwa danych. Tradycyjne narzędzia do monitorowania i wykrywania zagrożeń w sieci okazują się niewystarczające – niezdolne podołać współczesnym wyzwaniom. Systemom typu „wszystko albo nic” brak autonomicznej inteligencji do przewidywania zagrożeń, precyzyjnego ich wykrywania i szybkiego reagowania. Rezultatem jest niższa wykrywalność ataków, a co za tym idzie, wyższa podatność organizacji na utratę wrażliwych danych.

Obecnie organizacje wciąż jeszcze mają problemy z monitoringiem skali ruchu, prędkości łączy sieciowych 40G/100G i pojawiających się 400G, usług i aplikacji, protokołów do komunikacji wewnątrz i do/z infrastruktury oraz użytkowników, urządzeń czy aplikacji uzyskujących dostęp do infrastruktury.

Dlaczego zatem nie rozważyć wdrożenia nowoczesnego, opartego na sztucznej inteligencji, skalowalnego rozwiązania, które umożliwia monitorowanie infrastruktury IT, pomaga w proaktywnym przewidywaniu zagrożeń, kompleksowo obsługuje obecne i przeszłe incydenty; a jednocześnie jest wysoce programowalne, dzięki czemu można monitorować tylko to, co jest najbardziej potrzebne. Nie bez znaczenia pozostaje fakt, że łatwo dostępne i rzetelne dane upraszczają procesy analizy, skracają czas podejmowania decyzji przez kierownictwo; a koszty wdrożenia i utrzymania, w przeciwieństwie do tradycyjnych rozwiązań, ograniczone są do minimum.

Rozwiązanie Arista DANZ Forensics Exchange (DFX), o którym mowa, pozwala na monitorowanie wydajności sieci, proaktywne wyszukiwanie zagrożeń (threat hunting), wykrywanie ich i adekwatne reagowanie w oparciu o algorytmy sztucznej inteligencji (AI). Wszystko to odbywa się z poziomu jednego panelu zarządzania, co równocześnie umożliwia automatyzację działań dotychczas wymagających znacznego zaangażowania człowieka, a co za tym idzie, wspomaga eliminację błędów ludzkich.

Architektura Systemu

Rozwiązanie Arista DFX oparte jest na technologii Zero Touch Networking (ZTN), która automatycznie wykrywa wszystkie przełączniki i węzły w monitorowanej sieci.

Ruch sieciowy jest monitorowany z szerokiej gamy źródeł, w tym portów SPAN, przełączników, TAPs, sFlow IPFIX i środowisk wirtualnych. Kontroler DMF utrzymuje i dystrybuuje konfiguracje oparte na politykach, do komponentów infrastruktury, umożliwiając scentralizowaną kontrolę i monitorowanie pożądanego ruchu, zarówno do centralnego węzła analizy bezpieczeństwa (Nucleus), jak i rejestratora DMF służącego do skalowalnego, inteligentnego przechowywania pakietów. Ruch w czasie rzeczywistym jest przekazywany bezpośrednio z przełącznika do Nucleusa, który dogłębnie analizuje komunikację sieciową, aby wykryć, sprofilować i sklasyfikować każde urządzenie, użytkownika i aplikację przy wykorzystaniu sztucznej inteligencji. Węzeł rejestratora przechowuje dane dostarczone przez infrastrukturę pod kontrolą polityk dystrybuowanych przez kontroler DMF. Nucleus obsługuje integrację z szeroką gamą infrastruktury sieciowej i bezpieczeństwa, takiej jak SIEM, w celu powstrzymywania i łagodzenia ataków.

Nucleus automatycznie analizuje, koreluje i integruje wszystkie elementy ruchu sieciowego i prezentuje wyniki w przyjaznym dla użytkownika formacie. NDR Dashboards oferuje konfigurowalny widok danych, tak aby odpowiadał on potrzebom poszczególnych osób lub grup.

Silniki AI oraz hierarchiczne wyświetlacze dają możliwości operacji drill-down – schodzenia do poziomu pakietu, z którego pochodzą dane.

System wykorzystuje technikę fingerprinting; w ten sposób określa, które urządzenia są aktywnie zarządzane przez aplikacje, takie jak agenci Endpoint Detection and Response (EDR) lub Endpoint Protection Platform (EPP). Raporty umożliwiają śledzenie zgodności z aplikacjami, wersjami systemu operacyjnego czy domenami i protokołami. Wspólny widok danych sieciowych zoptymalizowanych do użytku zarówno przez zespoły IT, jak i zespoły bezpieczeństwa, pozwala na płynny przepływ pracy – naruszenia zasad są często prekursorem zdarzeń związanych z bezpieczeństwem.

Warto dodać, że dla korporacyjnych centrów danych skalowalna architektura ma zastosowanie dla ruchu użytkownik-aplikacja (północ-południe) oraz aplikacji-aplikacji (wschód-zachód) aż do pięciokrotnie wzmożonego ruchu. DFX, jako wysoko wydajne rozwiązanie, wspiera prędkości transmisji 10G/40G jak i 25G/100G; jest także architektonicznie gotowe na nadchodzące 100G/400G.

Wykrytym zagrożeniom nadawane są priorytety, są one wyświetlane na pulpicie ryzyka, co zapewnia rozwiązywanie najpilniejszych problemów w pierwszej kolejności. Operator może bezpośrednio kontynuować badanie szczegółów nowego alertu za pośrednictwem silnika EntityIQ, który wyświetla bieżące i historyczne informacje skorelowane automatycznie przez system.

Wykryte incydenty są śledzone za pomocą ekranu obsługiwanego przez narzędzie sztucznej inteligencji – AVA.

Odpowiedzi na ataki, takie jak odizolowanie zagrożonego systemu za pomocą agenta EDR i ponowna segmentacja zaatakowanego urządzenia do podsieci kwarantanny są wykonywane ręcznie lub programowo poprzez integrację z narzędziami do obsługi zgłoszeń lub orkiestracji.

Programowalne, proaktywne wykrywanie zagrożeń

W obecnych czasach, proaktywne poszukiwanie zagrożeń w infrastrukturze sieciowej stało się koniecznością. Dla administratorów bezpieczeństwa przydatny jest Adversarial Modeling Language (AML), który umożliwia inicjowanie zaawansowanych działań związanych z poszukiwaniem zagrożeń – wykorzystuje autonomiczne silniki AI w Nucleusie do wyszukiwania relacji i działań między podmiotami. Dostęp do danych realizowany jest przez prosty interfejs typu „wskaż i kliknij”, który także tworzy modele poszukiwania zagrożeń z katalogu dobrych praktyk, dostarczanych wraz z produktem.

Zgodność i analityka śledcza

Skalowalność platformy pozwala na tworzenie niestandardowych modeli, które automatycznie wyszukują niezgodności z regulacjami i dostarczają alerty spełniające wymagania audytu.

Każda jednostka w sieci jest analizowana i śledzona przez silnik EntityIQ, który funkcjonuje jako autorytatywne źródło historycznych danych do analizy przeszłych działań i zachowań. Dzięki tej funkcji, analityk może precyzyjne zdefiniować potrzebne przedziały czasowe, aby przyspieszyć czas rozwiązania i wyeliminować niepożądane szumy tła podczas analizy zdarzeń historycznych.

Podsumowanie

Wykładniczy wzrost wielkości centrów danych, przepustowości łączy i ruchu, którym charakteryzuje się cyfrowa transformacja, pokazuje nadrzędną potrzebę wszechobecnej obserwowalności sieci w celu zapewnienia wydajności, bezpieczeństwa i integralności infrastruktury IT. Ilość cyberataków stale rośnie, więc zapewnienie, że wydajność aplikacji spełnia potrzeby biznesowe, ma dziś kluczowe znaczenie.

Organizacje, zwłaszcza te działające na rynku usług finansowych, potrzebują skutecznych systemów do całościowego oglądu elementów infrastruktury. Ponieważ zespoły ds. bezpieczeństwa powinny móc skutecznie przewidywać, wykrywać i reagować na zagrożenia, nowoczesne rozwiązanie do ochrony sieci musi zapewniać kompleksowy kontekst zagrożeń: wgląd w urządzenia, użytkowników i aplikacje w całej infrastrukturze.

Rozwiązanie Arista DFX to kompletne, zintegrowane rozwiązanie typu end-to-end z programowalnym filtrowaniem pakietów opartym na regułach, skalowalnym przechowywaniem pakietów i zaawansowaną zgodnością, wykrywaniem zagrożeń oraz niestandardowym wyszukiwaniem typu „wskaż i kliknij” na kompleksowej platformie, oferowanym przez lidera branży w dziedzinie sieci i bezpieczeństwa.

Firma WINGU Sp. z o.o. to polski integrator rozwiązań służących do zarządzania dostępnością, jakością, bezpieczeństwem i ciągłością usług. Wdrażane przez Wingu systemy monitorowania, raportowania dostępności i wydajności sieci oraz infrastruktury i usług IT, zostały docenione przez wielu klientów z różnych sektorów gospodarki, zarówno w Polsce, jak i za granicą. Firma działa od 2010 r.
www.wingu.pl

Arista Networks jest liderem w budowaniu skalowalnych, wysokowydajnych sieci chmurowych dla nowoczesnych środowisk centrów danych i kampusów o znaczeniu krytycznym. Wielokrotnie nagradzane platformy Arista zapewniają dostępność, sprawność, analizę, automatyzację i bezpieczeństwo dzięki zaawansowanym sieciowym systemom operacyjnym.
www.arista.com/pl

Źródło: Miesięcznik Finansowy BANK