Корпоративные вычислительные сети наравне с энергетическими, транспортными и другими системами жизнеобеспечения составляют основу современной инфраструктуры предприятия, поэтому даже случайные сбои аппаратного или программного обеспечения могут привести к длительным простоям в функционировании компании. Однако следует учесть, что случайные отказы оборудования, как правило, единичны и достаточно быстро исправляемы. Гораздо больше неприятностей приносят сознательные вредоносные действия, направленные изнутри или извне корпоративной сети, выполняемые в результате обнаружения брешей в системе безопасности.
Поэтому, как бы правильно ни была спроектирована структура сети, насколько бы надежное ПО и активное сетевое оборудование не использовалось, в составе сетевой инфраструктуры необходимо применение непрерывно действующих в автоматическом режиме средств мониторинга, которые могут своевременно оповестить администратора о нарушении информационной безопасности.
В результате мониторинга сетевой безопасности должны выполняться следующие задачи:
Компания ЗАО "Инфосэл" рекомендует развертывать в составе корпоративной сети систему мониторинга Cisco MARS. Данная система обеспечивает преобразование предоставляемых сетью и системой безопасности необработанных данных о злонамеренной активности в понятную информацию (позволяет администратору быстро определять все охваченные атакой объекты, вплоть до MAC-адресов как атакующих, так и атакованных узлов), которая может быть использована для устранения подтвержденных нарушений безопасности. Сбор данных уязвимости, информации о ресурсах и сигналов тревоги осуществляется поддержкой разнообразных источников (IPS, МСЭ, маршрутизаторы, коммутаторы, NAC, ACS) в разных форматах (syslog, snmp, rdep, sdee, netflow, xml api, системные и пользовательские логи). Регистрация аномалий сетевой активности происходит путем анализа данных, которые поступают по протоколу NetFlow с сетевых устройств. Cisco MARS усиливает защиту имеющихся сетевых устройств и механизмов противодействия за счет объединения интеллектуальных возможностей сети, функций корреляции событий на основе контекста (ContextCorrelation), векторного анализа (SureVector) и автоматического отражения (AutoMitigate), позволяя администратору быстро обнаруживать, сопровождать и устранять сетевые атаки. Информирование ответственных лиц об инцидентах сетевой безопасности происходит путем уведомления ответственных лиц по электронной почте и SNMP-пейджеру, с сохранением записи в syslog журнале.
Компания ЗАО "Инфосэл" выполняет:
1. поставку оборудования и программного обеспечения системы Cisco MARS;
2. развертывание и настройку системы в сетевой инфраструктуре на объекте Заказчика: