И снова анализ решения, предлагаемого IXIA. Не для рекламы, а для общего развития. На этом месте мог оказаться любой вендор, и еще окажется неоднократно. Хотя, учитывая количество постов, сгенерированное семинаром IXIA, могут закрасться подозрения.
IXIA предлагает ThreatArmor как некоторое устройство, которое топологически может быть установлено в двух местах корпоративной сети: на входе из Интернет (стык с пограничным роутером или firewall), и на входе в инфраструктуру ИБ с "внутренней" стороны.
Более подробно и официально рассказано на сайте производителя и дистрибьютора. Кроме того, я в своем блоге также описывал некий блиц-анализ работы этого решения с моей точки зрения.
Вкратце: ThreatArmor позволяет осуществлять фильтрацию по IP-адресам источника (со стороны Интернет в направлении корпоративных ресурсов) либо назначения (изнутри корпоративной сети в мир). База IP-адресов категоризируется по странам, видам вредоносных воздействий и т. п. командой Application and Threat Intelligence Team. Обновление происходит каждые 5 минут.
Попробуем вычислить экономическую эффективность подобного решения.
Так выглядит картинка предлагаемой архитектуры.
Слева - корпоративная сеть, справа - Интернет.
Под множеством элементов "Existing Security Infrastructure", в зависимости от требований к защищенности и бюджета на безопасность, архитектор информационной безопасности компании может видеть разную картину, от такого:
до такого:
В то же время, ценность решения заключается не столько в самом устройстве, сколько в подписке на обновляемые базы вредоносов и категории IP-адресов. Без них это будет, насколько я понимаю, тупой пакетный брокер.
Как я уже описывал ранее, вендор не пытается рассказать о том, что ThreatArmor заменит что-то из инфраструктуры ИБ, только "понизит шум". То есть, оно должно покупаться не вместо, а вместе с оборудованием ИБ и отсеивать гарантированно мусорный трафик. Важно понимать, что от DDoS на исчерпание пропускной способности канала оно не спасет, даже если все источники отфильтруются как мусорные: с большой вероятностью забьется канал до ThreatArmor'а, после чего фильтруй-не-фильтруй... Риски того, что отрезанный трафик окажется не совсем мусорным, я уже озвучивал в том посте, на который ссылаюсь. Предположим, риски приняты. Теперь самое главное - понять, какие плюсы дает "подавление шума" и насколько будет оправдано применение дополнительного средства защиты. Высокоуровневые параметры фильтрации от иксии известны, осталось сопоставить с пользой их для своей компании.
В подобной реализации экономятся ресурсы, как минимум, следующих компонентов:
- Firewall - за счет того, что атаки отсекаются до границы сети, меньше устанавливается сессий, меньше ресурсов тратится на проверку пакетов, установку сессий, трансляцию и генерацию syslog/netflow.
- IDS/IPS - за счет того, что меньше заведомо вредоносного трафика дойдет до него, будет меньше использоваться ресурсов на отсеивание атак по сигнатурным и поведенческим алгоритмам.
- SIEM - меньше событий от Firewall/IDS/IPS вызывает меньшее расходование ресурсов на сбор и корреляцию данных.
- Антивирус - уменьшение количества потенциальных проблем с вредоносами и вытекающих последствий за счет блокировки соответствующих IP-адресов.
- Операторы SOC - меньшее количество событий вызывает меньшее количество инцидентов ИБ, требующих анализа.
Казалось бы, расчет экономической эффективности банален: складываем ценообразующие параметры Firewall/IDS/IPS/SIEM/AV/чего_там_еще_у_нас_есть, считаем цифру без ThreatArmor, замеряем, сколько нужно при использовании ThreatArmor, считаем дельту. Смотрим цену ThreatArmor, считаем и сравниваем с дельтой. Но в реальности вряд ли такой расчет пойдет в спецификацию под серверную. Инфраструктура, обеспечивающая продуктивный трафик, должна быть готова переварить нагрузку, которая будет без ThreatArmor, на случай его отказа или установки в режим SPAN/TAP. Очень важно определить, сколько можно отсеять нагрузки на операторов и аналитиков SOC за счет такого решения (до и после за промежуток времени), а самое важное - сопоставить озвученные ранее плюсы и минусы с возможной экономической эффективностью.
Вывод
На мой взгляд, экономическую эффективность ThreatArmor, как и любого вспомогательного средства, нельзя считать по той же формуле, что и основного средства (снижение затрат на окружающее оборудование и ПО). Необходим расчет вспомогательного эффекта на SOC от "снижения шума" и анализ возможности принятия вносимых решением рисков. Если есть альтернативное мнение о расчете эффективности подобных решений - милости прошу.
Примерно в то же время пытался посчитать, но ходил с боку "посоветоваться с практиками сетевой безопасности" вместо разработки модели. В итоге получилось 2 типичных мнения 1) такая штука нужна ну на очень большой инфраструктуре, может в телекоме или в компании Fortune 500 в ядре сети (сетевой эксперт и его коллеги) 2) ненужная штука, если мой FW плохо справляется с нагрузкой по фильтрации то зачем мне такой FW? (CISO банка топ 20 и его коллеги)
ОтветитьУдалить