В феврале текущего года компания Arbor Network представила в России новое решение под названием Spectrum, предназначенное для автоматизации процесса расследования инцидентов безопасности. Сейчас на площадке эксклюзивного дистрибьютора компании Netwell установила набор необходимого демооборудования, которое доступно для тестирования в том числе и российским заказчикам. «Мы сформировали комплект демонстрационного оборудования, и у нас уже выстроилась целая очередь из желающих его попробовать», – пояснил Ярослав Росомахо, менеджер по развитию партнерских отношений Arbor Networks.
Компания Arbor известна российским потребителям по решениям для защиты от DDoS-атак, которые установлены у крупных операторов, например, в «Ростелекоме». Более десяти лет компания специализировалась на подобных средствах защиты, собирая сведения о вредоносной активности в сети с помощью установленных у крупнейших провайдеров интернет-сенсоров. На сегодняшний день компания контролирует до 30% международного интернет-трафика, который анализируется ее специалистами с целью выявления DDoS-атак. Накопленные данные о сетевой активности и позволили компании выпустить новый продукт, который можно отнести к новому классу защиты – анализатор сетевой активности предприятия для выявления хакерских атак. Продукт Arbor Spectrum предназначен для ускорения расследования инцидентов. По словам Ярослава Росомахо, новый продукт позволяет инженеру безопасности расследовать в день на порядок больше инцидентов, чем с помощью других инструментов.
Spectrum обеспечивает возможность автоматизировать расследование инцидентов, поскольку он собирает и анализирует сведения о передаваемых по корпоративной сети пакетах и потоках информации, пропускаемых через коммутаторы и маршрутизаторы корпоративной сети. Кроме того, эта информация сравнивается с данными об активности зомби-сетей, троянских программ и пользователей Tor, собираемыми компанией с помощью интернет-сенсоров. Если сравнивать Spectrum с IDS/IPS, то он анализирует весь внутрикорпоративный трафик, а не только пакеты, проходящие через шлюз. Это позволяет обнаруживать, в частности, и вторичные заражения, и активность хакеров внутри сети. В отличие от SIEM он собирает реальную сетевую информацию, а не сообщения от средств защиты. Коррелируя эту информацию со сведениями от своих интернет-сенсоров, Spectrum обеспечивает возможность более точно и быстро обнаружить вредоносную активность, в том числе и такую, для которой у других автоматизированных средств защиты еще нет сигнатур.
Сам по себе Spectrum предполагает наличие трех компонент: системы централизованного управления в виде веб-консоли, сетевых сенсоров, собирающих передаваемые по сети пакеты данных, и коллекторы статистической информации, получающие информацию от коммутаторов и маршрутизаторов по протоколу NetFlow и аналогичным. При этом программных агентов на рабочие станции устанавливать не требуется – всю вредоносную активность клиентов система может обнаружить по сетевому трафику. Все компоненты сейчас доступны в виде программно-аппаратных комплексов, каждый из которых обойдется клиентам около 15 тыс. долл. Однако с сентября планируется поставка решений в виде виртуальных машин, которые можно будет устанавливать на собственные устройства или в ЦОД. Возможно, стоимость таких решений будет ниже. Компания рассчитывает, что новым продуктом в России заинтересуются банки, государственные компании, телекоммуникационные операторы и владельцы собственных веб-сервисов.
Валерий Коржов