En ting denne flodbølge av nye mål har til felles? Sin eksponering til nettverks trusler er 24/7. Fra Heartbleed til FREAK, kriminelle stadig utnytte lavthengende frukt ved å finne nye feil i utbredte programvare og gamle hullene som gjenoppstår i ny teknologi.

Effektivt fange og stoppe disse utviklende nettverkstrusler krever ikke bare årvåkenhet, men nye tilnærminger. Det er urealistisk å forvente bedriften forsvar for å blokkere alle angrep eller eliminere alle sårbarheter. Videre manuell trusselvurdering og intervensjon rett og slett ikke kan skalere for å møte disse utfordringene. Nettverkssikkerhet overvåking som er mer gjennomgripende, automatisert og intelligent er avgjørende for å forbedre situasjonen og kan kjøre rettidig trussel respons.
Viktigheten av Network Threat Sikt

Ifølge Ponemon Institute " 2014 Cost of Cyber ​​Crime: USA, " de mest kostbare cybercrimes er de som er forårsaket av denial of service angrep, ondsinnet innsidere og ondsinnet kode, som fører til 55% av alle kostnader forbundet med cyberattacks. Ikke overraskende kostnader eskalere når angrepene ikke blir løst raskt. Deltakere i Ponemon studie rapporterte gjennomsnittlig tid til å løse en cyberattack i 2014 var 45 dager, til en gjennomsnittlig pris på $ 1.593.627 - en 33% økning fra 2013 kostnadene og 32-dagers oppløsning. Verre deltagerne rapporterte at ondsinnede insider angrep tok i gjennomsnitt mer enn 65 dager til å inneholde.

Den økende frekvens, mangfoldet og kompleksiteten i nettverksbaserte angrep ligger i veien for trussel oppløsning. Ciscos 2015 Annual Security Report fant at kriminelle blir flinkere til å bruke sikkerhetshull for å skjule ondsinnet aktivitet; for eksempel flytter utover nylig faste Java bugs å bruke ny Flash malware og Snowshoe IP distribusjon teknikker (økende spam med 250%) og utnytte 56% av Åpen SSL installasjoner fortsatt sårbare for Heartbleed, og andre, eller verve sluttbrukere som cybercrime medskyldige .

i denne tid med BYOD, BYOC, IOT og mer, oppnå reell sikkerhet for business-essensielle tilkobling krever mer synlighet i nettverkstrafikk, eiendeler og mønstre. &Quot; Ved å forstå hvordan sikkerhetsteknologi operere, " Ciscos rapport konkluderte med " og hva som er normalt (og ikke normal) i IT-miljøet, kan sikkerhets team redusere sine administrative arbeidsmengden samtidig som de blir mer dynamisk og nøyaktig i å identifisere og håndtere trusler og tilpasse forsvar ".

Vær klar over risikoen
på denne tiden av BYOD, BYOC, IOT og mer, oppnå reell sikkerhet for business-essensielle tilkobling krever mer synlighet i nettverkstrafikk, eiendeler og mønstre.

Ifølge Gartner-analytiker Earl Perkins, tale på Gartner Security & Risk Management Summit i juni 2015, og kombinerer avansert trusselforsvars nær-sanntids overvåking, deteksjon og analyse av nettverkstrafikk, nyttelast og endepunkt atferd med nettverk og endepunkt etterforskning. Mer effektiv trussel respons begynner med avansert sikkerhet overvåking - inkludert bevissthet om brukerens aktiviteter og forretnings ressursene de har tilgang, on-site og off. Men sikkerhet fagfolk opplever også informasjon overbelastning. Avansert synlighet kommer derfor fra mer intelligent bruk av informasjon gjennom prioritering, baselining, analyse og mer.

Perkins anbefaler å distribuere nettverkssikkerhet overvåking teknologier basert på risiko. Som et minimum bør alle bedrifter ta grunnleggende trinn, inkludert riktig segmentere nettverk og forsvare driftsmidler med tradisjonelle brannmurer, Intrusion Prevention Systems (IPS), sikre web-gatewayer og endepunkt beskyttelse verktøy. Disse forsvar fungere som vaktposter - væpnede vakter stasjonert på viktige innganger til vern av grunnleggende trusler og lyd alarm ved første tegn på angrep. For trussel-tolerant bedrifter med lav risiko, kan disse grunnleggende være tilstrekkelig.

Men de fleste organisasjoner i fare vil ønske å vurdere mer avanserte nettverkssikkerhet overvåkningsverktøy og evner som neste generasjon og søknad brannmurer, nettverk tilgangskontroll (NAC), enterprise mobility management (EMM), og sikkerhetsinformasjon og event management (SIEM). Disse teknologiene gå dypere ved å undersøke mer trafikk innhold eller endepunkt egenskaper. De utvide synlighet ved å overvåke flere nettverkselementer, inkludert mobile enheter og aktiviteter. Til syvende og sist, kan de produsere mer praktisk intelligens ved å strikke sammen ulike hendelser i mer helhetlige trusselvarsler -. Spesielt for avanserte vedvarende trusler som ellers kan være savnet helt

Til slutt, risiko intolerant organisasjoner kan ønske å gå enda lenger ved hjelp av nettverk og endepunkt etterforskning for å rutinemessig registrere all aktivitet, slik at utseende-back trafikk, og nyttelast og atferdsanalyse. I motsetning til sanntid overvåking teknologier, etterforskning verktøy fokusere på å identifisere siste kompromisser - men dette kan være viktig å få øye på, for eksempel, de langvarige insider angrep. Forensics kan også hjelpe bedrifter identifisere hull i sitt forsvar, slik at de kan tilpasse seg og å bedre forhindre fremtidige angrep.
Sett Network Security Monitoring verktøy for å arbeide

For å dra nytte av nye avanserte nettverkssikkerhet overvåkningsverktøy, kan det hjelpe å få en hånd på industriutviklingen og hvorfor nye teknologier og muligheter har dukket opp.

La oss starte med det stift av nettverksovervåking, den tradisjonelle brannmur. Single-funksjon brannmurer lenge siden forvandlet til Unified Threat Management (UTM) plattformer, som kombinerer brannmur, IPS, VPN, Web gateway, og antimalware evner. Men selv UTMS tendens til å fokusere på nettverkstrafikk inspeksjon. Når søknaden nyttelast er undersøkt, er det for en spesiell grunn som blokkerer en svartelistet URL, innholdstype eller anerkjent malware.

I kontrast, neste generasjons brannmurer er program klar. Det vil si, de forsøker å identifisere programmet ridning over en gitt trafikkstrømmen - selv en SSL-kryptert økt - og bruke policyer som er spesifikke for det programmet, og kanskje til brukere, grupper eller roller. For eksempel er en neste generasjons brannmur ikke begrenset til å blokkere all trafikk til Facebook. Det kan bare tillate markedsføring ansatte til å legge til Facebook, men ikke til å spille Facebook-spill. Eller det kan rett og slett overvåke hvordan arbeiderne samhandler med Facebook og generere varsler når aktiviteten avviker fra det baseline. Denne detalj er bare mulig fordi brannmuren kan identifisere applikasjoner og deres funksjoner - inkludert nye programmer vil lære om i fremtiden. I økende grad er neste generasjons brannmurer læring gjennom maskinlesbare feeds som ikke bare leverer nye hotsignaturer men etterretning om nye angrep og IP-adresser, enheter eller brukere med dårlig omdømme. Denne evnen til tilpasse seg og lære
er nøkkelen til å holde tritt med nye cyberthreats.

Mens Intrusion Prevention fortsatt en hjørnestein i nettverksovervåking, har det utviklet seg i flere dimensjoner. Først, som bedriftsnettverk flytte fra kablet til trådløs tilgang, har trådløs IPS blitt avgjørende. På et minimum, kan bedrifter bruke rogue deteksjon bygget inn trådløse LAN-kontrollere. Risikoavers bedrifter kan investere i trådløse IPS å søke på nettverket 24/7 for trusler, inkludert noen ellers skjulte IOT og uautorisert BYOD kommunikasjon.

For det andre, Intrusion Prevention strekker seg nå utover bedriftens nettverk til mobile enheter. For eksempel kan EMM brukes til rutinemessig vurdere mobil enhet integritet, varsler administratorer jailbroken, forankret eller malware-infiserte enheter og automatisk beskytte virksomheten ved å fjerne nettverkstilkoblinger eller forretningsapplikasjoner fra disse enhetene. Evnen til å se utover det tradisjonelle bedriftsnettverk kanten er nøkkelen til å unngå blindsoner

Siem teknologi har også utviklet seg fra bare å samle og normalisering hendelser produsert av bedriften nettverkstilkoblede systemer og applikasjoner.; Nå ordner det at data med kontekstuell informasjon om brukere, eiendeler, trusler og sårbarheter for å muliggjøre korrelasjon og analyse. Ifølge Gartner, er SIEM distribusjon økende, med brudd deteksjon nå vinne samsvar som den primære driveren. Som et resultat, har Siem leverandører utvidet evner som retter seg mot mislighold gjenkjenning, slik som trussel intelligens, anomali deteksjon og nettverksbasert aktivitet overvåking - for eksempel å integrere NetFlow og pakke fange analyse. SIEM ikke bare hjelper bedrifter å trekke overvåkede data sammen, men nå kan det intelligent sile gjennom at høystakk å finne interne og eksterne trusler

Et nytt markedssegment har begynt å dukke opp. Brudd deteksjonssystemer (BDS). Disse teknologiene blir drevet av startups som arbeider for å søke store dataanalyse til overvåket informasjon, profilering bruker- og enhetsatferdsmønstre å oppdage brudd og legge til rette for interaktiv undersøkelse. Ifølge NSS Labs, kan en BDS identifisere eksisterende brudd samt malware introdusert gjennom side-kanal angrep - men bør betraktes som en " siste forsvarslinje mot brudd som går ubemerket av dagens sikkerhetsteknologi, eller er ukjent med disse teknologiene. " Risiko intolerant bedrifter som har prøvd andre avanserte sikkerhetsovervåkningsverktøy, men er plaget av avanserte, vedvarende trusler kan ønske å undersøke denne nye teknologien.

Når angrepene uunngåelig bryte gjennom bedriftens nettverk forsvar og unngå sporing i sanntid, en annen avansert overvåking verktøyet kan være nyttig: nettverksetterforskning apparater. Nettverksanalyse analyserer også overvåkede data, men på en annen måte, for et annet formål. Som et nettverk DVR, disse passive apparater posten og katalogisere all inngående og utgå trafikk. Ved å levere uttømmende full pakke replay, analyse og visualisering raskt, nettverksanalyse apparater støtter datakriminalitet etterforskning, bevis innsamling, konsekvensutredning og opprydding. Her er ideen å unngå begrensninger forbundet med sanntids overvåking - det vil si at du trenger å få øye på alt viktig akkurat når det skjer. Nettverks etterforskning gjør det mulig å gå tilbake og ta en ekstra titt, for å finne hva andre overvåkingssystemer kanskje har savnet.
The Bottom Line

Som vi har sett, avansert nettverkssikkerhet overvåking kan ikke oppnås gjennom isolerte statiske verktøy. Snarere overvåking må skje på mange steder og nivåer gjennom bedriftsnettverk og utover, lage en omfattende datasett som en stadig mer smart og dynamisk samling av analyseverktøy så skurer. Bare på denne måten kan vi reagere raskt og effektivt til nye cyberthreats som har lært å fly under tradisjonelle nettverks radar.