Arbor Networks представила в России свой новый продукт Arbor Spectrum. На международном рынке он появился в феврале.
По мере расширения использования киберпреступниками схем целевых атак предотвращать кибератаки становится все труднее и все большее значение приобретает анализ ИБ-инцидентов с целью максимально быстрого блокирования атак, отработки последствий, включая выявление и устранение их причин. Программно-аппаратный инструмент Arbor Spectrum предназначен для упрощения процесса анализа инцидентов ИБ и принятия адекватных решений.
По словам менеджера по развитию партнерских отношений компании Arbor Networks Ярослава Росомахо, более 60% компаний тратят сегодня на расследование одного ИБ-инцидента более трех дней. Использование же Arbor Spectrum помогает существенно сократить это время.
Решение автоматически в режиме реального времени анализирует пакеты и потоки данных на периметре и внутри сети заказчика на предмет выявления признаков внешних атак, формируемых на основе баз данных Arbor Networks, а также аномалий внутреннего трафика заказчика. По словам г-на Росомахо, базы данных строятся на основании мониторинга до 30% интернет-трафика, что делает их уникальными.
Накопленные и формализованные Arbor Networks данные о сетевой активности в мире позволяют кореллировать обнаруженные ИБ-инциденты с событиями в корпоративной сети заказчика и Интернете и выдавать операторам-аналитикам рекомендации для принятия решений. При этом могут использоваться данные об инцидентах на стороне заказчика, хранящихся в системе до шести месяцев.
Arbor Spectrum призван повысить эффективность работы аналитика — специалиста в области ИБ. Задача эта актуальна, поскольку при сотнях миллионов (в крупных компаниях) ИБ-событий за сутки (а каждое из них может стать триггером для расследований) специалист за это же время может провести в среднем около десяти расследований. Это позволяет злоумышленникам скрывать атаки в какофонии ИБ-инцидентов. Как показывает опыт заказчиков, Arbor Spectrum повышает производительность аналитиков в десять и более раз, заявил г-н Росомахо.
Он проинформировал, что новый продукт не подпадает ни под одно из определений классов продуктов, которыми оперируют в настоящее время ведущие компании, занимающиеся анализом рынка ИБ.
Чтобы начать работать с Arbor Spectrum, утверждает г-н Росомахо, требуется всего несколько часов обучения. В случае недостаточной квалификации для самостоятельного принятия решения оператор может воспользоваться функционалом эскалации инцидентов, вплоть до уровня экспертов Arbor Networks.
Arbor Spectrum включает три аппаратно-программных компонента:
· центральную консоль управления с веб-интерфейсом;
· коллекторы сетевых пакетов, которые устанавливаются на спам-порты сетевых устройств или сетевые отводы, их количество определяется конфигурацией сети заказчика и объемом трафика, сегодня один коллектор сетевых пакетов в состоянии обрабатывать до 8 Гбит/с;
· коллекторы потоков данных, которые собираю статистическую информацию с сетевых устройств по таким протоколам, как Cisco NetFlow, Juniper IPX и др., поддерживающим широкий класс сетевого оборудования разных производителей, каждый коллектор может обрабатывать до 100 тыс. записей в секунду.
Решение легко масштабируется увеличением количества коллекторов. Arbor Spectrum также допускает интеграцию по данным с другими источниками об инцидентах и сигнатурными базами данных.
Arbor Networks видит основными заказчиками своего нового продукта в нашей стране операторов связи, финансовые структуры, предприятия ТЭК и прочие организации, государственные и иные структуры, работающие с конфиденциальной информацией.
Сейчас в России несколько компаний ведут пилотное тестирование продукта — продаж пока не было (в мире к настоящему времени продано более десяти систем Arbor Spectrum).
Как сообщил г-н Росомахо, договор об официальной дистрибуции Arbor Spectrum в России заключен с компанией Netwell. Лицензирование решения производится в зависимости от требуемой заказчику производительности. До сентября продукт продается только на физических серверах, предлагаемых Arbor Networks. Начиная с сентября вендор обещает представить версию продукта на виртуальных машинах, которую можно будет разворачивать на виртуализированной инфраструктуре заказчика. Это, как сообщили представители Netwell, позволит снизить стоимость наиболее простых конфигураций до 10 тыс. долл.