Cisco Stealthwatch

Cisco Stealthwatch® Enterprise kompleksowo monitoruje sieć w celu wykrywania zagrożeń i reagowania na nie w czasie rzeczywistym. Dzięki połączeniu metod takich jak uczenie maszynowe, zasilanie danymi z Cisco Talos, Stealthwatch wykrywa zagrożenia, takie jak ataki Command and Control, ransomware, ataki DDoS, nieznane złośliwe oprogramowanie i zagrożenia wewnętrzne. Jest rozwiązaniem bezagentowym umożliwiającym kompleksowe monitorowanie zagrożeń w całym ruchu sieciowym, nawet jeśli jest on szyfrowany.

W przeciwieństwie do ogromu rozwiązań typu „kolektor flowów”, Cisco Stealthwatch zajmuje się podejściem do agregacji ruchu sieciowego pod kątem incydentów bezpieczeństwa. Obsługuje protokoły eksportu metadanych z ruchu sieciowego takie jak Cisco NetFlow, IPFIX standaryzowany NetFlow), sFlow, cFlow, jFlow, Packeteer 2, NetStream oraz Cisco NSEL, może też bezpośrednio odbierać ruchu z portu typu „span”, zamieniając poszczególne sesje na metadane samodzielnie. Silnik analityczny pracuje w czasie rzeczywistym nad zebranymi metadanymi. Po zdeduplikowaniu ruchu, Stealthwatch określa anomalie, znane rodzaje ataków, problemów i następnie dla wygody analityka bezpieczeństwa priorytetyzuje je wg poziomu zagrożenia dla firmy w proste do zrozumienia i podjęcia decyzji kategorie.

Główne korzyści:
  • Koniec z martwymi punktami - Stealthwatch zapewnia kompleksową widoczność w sieci prywatnej, a także w chmurze publicznej, bez konieczności rozmieszczania agentów. Jest to również pierwsze rozwiązanie umożliwiające wykrycie złośliwego oprogramowania w zaszyfrowanym ruchu, bez konieczności jego odszyfrowywania.
  • Koncentracja na incydentach, redukcja false-positives - wykorzystując siłę modelowania behawioralnego oraz  wielowarstwowe uczenie maszynowe, Stealthwatch redukuje fałszywe alarmy skupiając swoja uwagę na krytycznych zagrożeniach
  • Stealthwatch stale monitoruje sieć w celu wykrywania zaawansowanych zagrożeń w czasie rzeczywistym. Ataki są zwykle poprzedzone czynnościami takimi jak skanowanie portów, ciągłe pingowanie itp. Stealthwatch rozpoznaje te wczesne oznaki, aby zapobiec głównemu atakowi. Po zidentyfikowaniu zagrożenia można przeprowadzić dochodzenie, aby wskazać źródło zagrożenia i ustalić, gdzie jeszcze mogło się rozprzestrzeniać.
  • Wykorzystanie danych zebranych z istniejącej infrastruktury do poprawy bezpieczeństwa - dzięki pojedynczemu rozwiązaniu bez agentów Stealthwatch wykorzystuje bogate źródło wiedzy – dane telemetryczne generowane przez istniejącą infrastrukturę sieciową.
  • Skalowalność  - wraz z rozwojem organizacji -  uruchamianiem nowych oddziałów, rozbudową data center migracją do chmury, wdrożenie Stealthwatch można łatwo rozszerzyć, aby objęło swoim zasięgiem całą infrastrukturę. Rozwiązanie może być wdrażane lokalnie lub w chmurze, może być wykorzystywany jako rozwiązanie typu SaaS lub na licencji. Dodatkowo Stealthwatch posiada funkcję automatycznej klasyfikacji ról, aby automatycznie klasyfikować nowe urządzenia dodawane do sieci.
Wykrywanie zagrożeń w ruchu szyfrowanym - technologia Encrypted Traffic Analytics (ETA)
Technologia szyfrowania umożliwiła znacznie większą prywatność i bezpieczeństwo przedsiębiorstwom, które korzystają z Internetu do komunikacji i transakcji biznesowych online. Jednak cyberprzestępcy wykorzystują te same zalety, aby ukryć swoje złośliwe działania.

Tradycyjne metody wykorzystujące deszyfrowanie ruchu jego analizę i ponowne zaszyfrowanie nie zawsze są praktyczne lub wykonalna ze względu na wydajność i zasoby. Zagraża to również prywatności i integralności danych.

Dzięki opatentowanemu podejściu do analizy ogromnych ilości danych, Stealthwatch potrafi zidentyfikować ruch malware w ruchu zaszyfrowanym (SSL/TLS) bez jego odszyfrowania. Dzięki wzorcom przygotowywanym na bieżąco przez Cisco Talos oraz specjalnemu sposobowi eksportu metadanych przez przełączniki Cisco Catalyst, kontrolery Cisco WLAN oraz routery Cisco ASR, ISR i CSR rozwiązanie potrafi uchwycić charakterystyczne dla oprogramowania złośliwego zachowania, relacje ruchowe oraz sposoby ukrywania się „pod” normalnym ruchem sieciowym. Rozwiązanie to noszące nazwę Cisco ETA (Encrypted Traffic Analytics) wiąże ze sobą produkt (Cisco Stealthwatch) z bazą wiedzy dostarczaną przez Cisco Talos tworząca unikalne w skali światowej rozwiązanie.
Komponenty rozwiązania
Podstawą Stealthwatch Enterprise są komponenty: licencja Flow Rate, Flow Collector i Management Console. Ponadto dostępne są również opcjonalne komponenty, takie jak czujnik przepływu i dyrektor UDP (User Datagram Protocol).
  • Licencja Flow Rate - Licencja Flow Rate służy do gromadzenia, zarządzania i analizowania telemetrii przepływu oraz grupowania przepływów w ramach konsoli zarządzania. Licencja Flow Rate określa również wielkość przepływu i opiera się na liczbie przepływów na sekundę (FPS). Licencje można łączyć w dowolne kombinacje, aby uzyskać wybrany poziom przepustowości.
  • Moduł gromadzenia danych przepływu (Flow Collector) - Moduł wykorzystuje dane telemetryczne, np. NetFlow, IPFIX i inne typy przepływu danych z istniejącej infrastruktury w postaci routerów, przełączników, zapór, punktów końcowych i innych urządzeń sieciowych. Może również odbierać i gromadzić telemetrię ze źródeł danych proxy, które będą analizowane przez narzędzie Global Threat Analytics. To wielowarstwowy system uczenia maszynowego zapewniający szczegółowy wgląd w informacje o ruchu internetowym i sieciowym. Ponadto rozwiązanie Stealthwatch Enterprise wykorzystuje narzędzia analizy ruchu szyfrowanego do wskazywania wzorców ataków, identyfikacji zagrożeń i przyspieszenia reakcji. Funkcja jest wbudowana w system bez dodatkowych kosztów, niemniej jednak należy ją włączyć podczas wdrażania. Analiza danych telemetrycznych pozwala uzyskać pełen obraz aktywności sieciowej. Miesiące a nawet lata działań mogą być przechowywane w postaci dziennika, który pozwoli usprawnić dochodzenia i inicjatywy w kwestii zgodności z przepisami. Rozmiar danych telemetrycznych sieci zależy od wydajności wdrożonych modułów gromadzenia danych przepływu. Można instalować wiele modułów Flow Collector. Są one dostępne w postaci sprzętu lub maszyn wirtualnych.
  • Konsola zarządzania (Management Console) - Konsola zarządzania Stealthwatch pozwala gromadzić, porządkować i prezentować analizy wykonane przez maksymalnie 25 modułów gromadzenia danych przepływu. Może również korzystać z rozwiązania Cisco Identity Services Engine oraz innych źródeł. Konsola przedstawia w sposób graficzny ruch sieciowy, dane tożsamości, niestandardowe raporty podsumowujące oraz zintegrowane zabezpieczenia i dane sieci, aby wykonywać kompleksowe analizy. Wydajność konsoli przekłada się na objętość danych telemetrycznych, które mogą zostać poddane analizie i zaprezentowane. Wpływa to również na liczbę wdrożonych modułów gromadzenia danych przepływu (Flow Collectors). Konsola jest dostępna w postaci sprzętu lub jako maszyna wirtualna. 
Opcjonalne składniki systemu
  • Flow Sensor - tworzy dane telemetryczne dla segmentów infrastruktury przełączania i routingu, które nie mogą natywnie generować danych NetFlow. Umożliwia on również wgląd w dane warstwy aplikacji. Stealthwatch gromadzi wszystkie dane telemetryczne, a Flow Sensor pozwala uzyskać dodatkowy kontekst, który usprawnia działanie narzędzi analitycznych. Zaawansowane modelowanie zachowań i wielowarstwowe uczenie maszynowe w chmurze jest stosowane do takiego zbioru danych, aby wykrywać zaawansowane zagrożenia i szybciej przeprowadzać dochodzenia. Flow Sensor jest montowany na duplikacie portu lub ograniczniku ruchu sieciowego, co pozwala generować dane telemetryczne obserwowanego ruchu. Rozmiar danych telemetrycznych sieci zależy od wydajności wdrożonych Flow Sensors. Można instalować wiele takich czujników. Flow Sensors są dostępne w postaci sprzętowej lub do monitorowania środowisk jako maszyny wirtualne. Ponadto są skuteczne w środowiskach, gdzie warstwa monitorowania z dodatkowym kontekstem dla systemu zabezpieczeń lepiej wpisuje się w model operacyjny danej firmy IT.

  • UDP Director - pozwala uprościć gromadzenie i dystrybucję danych sieci i systemu zabezpieczeń w całym przedsiębiorstwie. To również mniejsza moc obliczeniowa potrzebna dla routerów i przełączników sieciowych, ponieważ odbiór podstawowych informacji o sieci i zabezpieczeniach następuje z wielu lokalizacji, a następnie jest przesyłany dalej, do jednego strumienia danych, który biegnie do co najmniej jednego miejsca docelowego.

Pobierz dodatkowe materiały


Datasheet: Opis najważniejszych funkcjonalności rozwiązania Cisco Stealthwatch Enterprise (ENG)
Pobierz datasheet

Masz pytania?


passus@passus.com

+48 695 444 803