在数字化转型的今天,在数字经济中开展业务需要灵活性,支撑企业数字化转型的基础设施也随之发生了深刻变化。随着企业竞相进入云计算,并在全球分布式数字生态系统中扩大活动,它们也必须重塑网络安全,以保护这种扩大的威胁面。
现代企业网络非常复杂,因为它们通常包括内部、分支机构、虚拟化、私有云和公有云环境等混合环境。威胁面不断在扩大,网络攻击的数量也随之增加。与此同时,安全工具的数量增加了,导致了孤立的数据。最后,缺乏全面和一致的网络可见性,使得网络安全团队更难进行方便和有效的威胁检测和响应。为了克服这个挑战,组织必须通过尽可能多的捕获点(例如:日志、数据包、NetFlow和端点)、计算平台(例如:物理、虚拟化和云)收集和分析数据,并使用威胁情报和业务上下文来丰富这些数据。因此,全面的网络可视性是至关重要的。NETSCOUT针对这一挑战的解决方案是Omnis™ Security — 一个用于高级威胁分析和响应的平台,它提供了当今数字基础设施安全所需的规模、范围和一致性,帮助组织实现全面的威胁管理。
*图:NETSCOUT Omnis Security解决方案示意图你无法保护看不到的东西!你无法避免遭受来自你看不到的东西的伤害!这是网络安全的基本原则。在当今传统网络、分支机构、在家办公、公有云和私有云混合的复杂世界中,获得适当级别的网络可视性从来没有像现在这样具有挑战性,对于网络威胁保护也如此重要。在超过30年的时间里,NETSCOUT已经为广大客户提供了全面和一致的网络和应用可视性,跨越组织的整个数字基础设施——无论基础设施可能位于哪里(例如:传统、虚拟化或混合云)。在NETSCOUT,我们称之为“可视性无边界”。我们认为,同样高度的可视性是有效检测和应对威胁——即“安全无边界”的基本要求。
NETSCOUT
Omnis
安全解决方案的基础是InfiniStreamNG(简称ISNG)和vSTREAM平台。通过使用专利和成熟的技术,这种高度可扩展的设备将网络数据包转换为智能数据,在不同的数字基础设施上提供全面和一致的可视性,正是这种层次的“可视性无边界”实现了“安全无边界”。ISNG是一种经过验证的、获得专利的、高度可扩展的数据包获取、分类和存储解决方案,可为任何物理、虚拟化或云环境提供全面和一致的可视性。▪支持云(如Amazon Web Services,谷歌cloud,Microsoft Azure,Oracle cloud)或虚拟化环境(如VMware NSX-V和NSX-T),100%虚拟化选项(称为vSTREAM®)▪本地磁盘存储容量可高达数百TB,用于本地存储元数据和原始数据包
*图:智能探针,将网络数据包转换为智能数据,同时用于安全和网络运维
利用获得专利的自适应服务智能(AdaptiveService Intelligence ,简称ASI)技术,ISNG设备将原始网络数据包转换为索引的元数据——我们称之为“智能数据”。NETSCOUT“智能数据”包含但不限于以下信息:▪5元组属性(源和目的IP,源和目的端口,协议字段)▪关键性能指标(KPI),如错误代码,响应时间,或平均主观意见分(MOS)。除了这种增强的元数据外,ISNG平台还存储智能压缩的原始数据包。ISNG和ASI创建的智能数据为组织的整个数字基础设施提供全面的南北向、东西向可视性。这个健壮的元数据的单一来源可以很容易地用于各种NetOps和SecOps场景。
*图:NETSCOUT智能数据结构
利用NETSCOUT ISNG设备和ASI衍生的智能元数据和数据包,Omnis Security提供多种网络威胁检测方法。Omnis Cyber Investigator(简称oCI)作为Omnis
Security平台的集中控制台,Cyber
Investigator分析ISNG设备收集的智能数据、网络基线、ATLAS或第三方威胁情报,以检测所有类型的网络威胁,并使用简单易用的工作流进一步可视化和调查。Cyber
Investigator产生的警报可以发送到第三方SIEM,其数据可以导出到第三方数据湖,供第三方应用进一步分析。Omnis Intrusion Detection System (简称oIDS)一个独立的解决方案或作为ISNG设备的软件模块。Omnis
IDS使用Suricata开源签名和规则引擎提供入侵检测。Omnis IDS发送上下文丰富的警报(包括映射到Mitre
Att&ck),用于运行在Cyber Investigator控制台中的IDS Manager应用或SIEM/SOAR。
Arbor Edge Defense(简称AED)部署在网络的边界(路由器和防火墙之间),AED检测和防御DDoS攻击、扫描、暴力破解密码尝试、恶意软件和其他IoC。AED使用高度可扩展、无状态数据包处理技术和来自NETSCOUT
ATLAS和/或第三方的威胁情报。AED检测到威胁后,可以将警报发送到Cyber Investigator控制台或第三方SIEM
/SOAR系统。
Arbor Edge Defense是一种无状态的解决方案,可以阻止入站的DDoS攻击、网络威胁和出站的入侵指标(IoC),作为智能、自动化边界防御的第一道和最后一道防线。
安全团队可以使用Omnis
CyberInvestigator来挖掘NETSCOUT智能数据,以获得实时、高质量的洞察,为高度上下文关联的调查和威胁搜索提供动力。在与时间赛跑的情况下,这种级别的响应能力可以帮助安全团队确定警报的优先级,并有信心更快地修复威胁。
Omnis
Security是专为整体的网络安全工作设计,跨跃当下扩展的数字足迹。它将来自NETSCOUT和第三方的高度策划的威胁情报与行为和先进的分析相结合,以融合多种基于网络的威胁检测方法。Omnis
Security使用开放标准的API和直观的安全工作流,可以轻松集成到现有的安全堆栈和流程中。
所有三个组件一起提供基于网络的威胁检测的多种方法,并集成到现有的安全堆栈中,为企业的深度防御策略做出贡献。
仅仅“侦测”网络威胁是不够的。为安全分析人员提供快速、高度相关的调查能力,从而加速补救措施,是网络威胁保护的下一个关键步骤。Omnis Security提供了两种强有力的应对威胁的方法。
上下文关联的调查 利用NETSCOUT智能数据的丰富来源,Omnis
Cyber
Investigator不仅检测威胁,而且通过单击一个按钮,即可使网络、安全团队能够挖掘丰富的元数据来源和完整的数据包,以进行快速、高效的上下文关联的调查。oCI的调查结果可能会影响警报优先级或补救措施,包括设备清理或移除、网络分段或使用网络基础设施或周边其他安全设备执行阻断的信心。边界防护 基于网络的威胁防护在网络边界是一种阻止已知或未知的网络威胁的方法。然而,为了避免误报,任何形式的阻断都必须完全自信地进行。OCI可以访问丰富的元数据和数据包,帮助安全团队获得在网络边界进行阻断的信心。OCI可以指示防火墙或NETSCOUT
Arbor Edge Defense (AED)等设备在边界阻断恶意流量。Arbor Edge
Defense还可以自动检测和阻断入站、出站威胁。特别是,AED提供业界领先的DDoS攻击保护。AED能够有效阻止各种类型的DDoS攻击,并通过无状态报文处理技术,有效阻止威胁防火墙、VPN、负载均衡器等有状态设备可用性和性能的状态耗尽攻击。配备了来自NETSCOUT
ATLAS或第三方的威胁情报,AED还可以阻止内部主机与外部已知的恶意站点通信的出站流量——本质上是作为边界防御的第一道和最后一道防线。
NETSCOUT
Omnis Security本身就是一个有效的高级威胁分析和响应平台。它的重点和优势在于利用来自NETSCOUT
ISNG/vSTREAM平台的原始数据包和智能元数据作为来源。在NETSCOUT,我们相信网络包含了真相的最终来源,但是我们也知道组织也依赖终端检测和SIEM技术。这就是为什么Omnis
Security将尽可能开放以集成到现有的安全堆栈和进程作为优先事项的原因。Omnis安全集成的范例包括:
▪为数千个网络协议和应用捕获、解码和创建智能的元数据能力▪支持任何网络环境,包括虚拟化(例如,Oracle云基础设施,VMware NSX-V和NSX-T)或公有云(例如,Amazon Web Services,Google Cloud, Microsoft Azure)▪通过支持STIX和TAXII或自定义TIP(例如,Anomali或ThreatQuotient)接口,使用第三方的威胁情报
▪使用开放的REST API
▪使用开源威胁检测(如Suricata)和新兴行业框架(如Mitre Att&ck)
▪流行的SIEM应用(如Splunk、AWS Security Hub)
▪与防火墙的集成(如PaloAlto Networks)
所有这些都使Omnis Security的全部或部分都可以集成到组织的网络安全基础设施中,成为组织的网络安全基础设施的重要组成部分。
▪高度可扩展的网络检测,实现经济高效、全面的网络可见性。
▪包括使用多种基于网络的威胁检测方法,精心策划的威胁情报、行为分析、开源和高级分析,实现全面的威胁管理。
▪通过丰富的本地存储元数据和数据包进行上下文关联调查。
▪使用业界领先的无状态数据包处理技术或第三方阻止设备(如防火墙)在边界进行补救。
▪丰富的元数据和数据包,使用开放标准和API实现集成和TechOps协作。
恒景动态
