Статья только в электронной версии журнала
Обзоры StealthWatch эффективно обнаруживает отклонения от нормы
Камерон Стардевант
Фирма Lancope выпустила свою первую аппаратно-программную систему семейства SMC (StealthWatch Management Console, консоль управления StealthWatch) и одновременно с ней - программный пакет StealthWatch 4.1. После его установки управлять средствами выявления аномального поведения сети станет намного проще, чем в прежних версиях StealthWatch.
Систем обнаружения отклонений в работе сети предлагается сейчас немало - упомянем хотя бы Peakflow X фирмы Arbor Networks или Halo корпорации iSphere. В таких условиях главным отличительным признаком конкретного продукта становится его способность управлять датчиками и политикой, генерировать и рассылать уведомления, готовить отчеты.
РЕЗЮМЕ ДЛЯ РУКОВОДИТЕЛЕЙ |
Консоль SMC с системным ПО StealthWatch 4.1 |
+ Значительно упрощает управление несколькими машинами StealthWatch и мониторинг их работы. |
- Как ни привлекательно выглядит трехмерный дисплей системы, двумерные таблицы сетевой информации гораздо более информативны, поэтому лучше пользоваться ими. |
РЕЗЮМЕ Аппаратная консоль управления StealthWatch Management Console фирмы Lancope в сочетании с системным программным обеспечением StealthWatch 4.1 значительно облегчает выявление аномалий в поведении сети, делает мониторинг и управление простыми, как никогда ранее. Необычная работа сети может стать первым симптомом вирусного заражения или начала атаки типа "отказ в обслуживании", и SMC сэкономит менеджеру безопасности ИТ немало времени, которое обычно приходится тратить на выявление подобных проблем. Начальная цена консоли составляет 9995 долл., но за каждую дополнительную машину StealthWatch нужно заплатить еще от 1995 до 3995 долл. (это зависит от производительности). Дополнительную информацию о продукте можно найти по адресу www.lancope.com. КРАТКИЙ СПИСОК АНАЛОГОВ - Peakflow X фирмы Arbor Networks - Halo фирмы iSphere - QRadar фирмы Q1 Labs |
ОЦЕНКА ОСНОВНЫХ ХАРАКТЕРИСТИК | |
УДОБСТВО | ХОРОШО |
ВОЗМОЖНОСТИ | ОТЛИЧНО |
ПРОИЗВОДИТЕЛЬНОСТЬ | ХОРОШО |
СОВМЕСТИМОСТЬ | ХОРОШО |
УПРАВЛЯЕМОСТЬ | ХОРОШО |
МАСШТАБИРУЕМОСТЬ | ХОРОШО |
БЕЗОПАСНОСТЬ | отлиЧНО |
УПРАВЛЯЕМОСТЬ | ХОРОШО |
МАСШТАБИРУЕМОСТЬ | ХОРОШО |
БЕЗОПАСНОСТЬ | ОТЛИЧНО |
Недавно в eWeek Labs закончилось тестирование StealthWatch, которое длилось больше месяца. За это время мы собрали достаточно данных, чтобы оценить новинку, и смогли в полной мере убедиться в ее способности упрощать выработку политики и распространение созданных на ее основе правил.
Правда, качество данных о сетевой безопасности, которые StealthWatch направляет в SMC, очень сильно зависит от конфигурации системы. С учетом этого право заниматься политикой SMC можно предоставлять лишь руководству подразделений безопасности. Людям свойственно ошибаться, поэтому в системе стоило бы предусмотреть возможность отмены внесенных в конфигурацию изменений.
Системы NBAD (Network Behavior Anomaly Detection - обнаружение аномального поведения сети) недешевы, и новинка Lancope не исключение. В минимальной комплектации SMC и аппаратный комплекс StealthWatch стоят по 9995 долл., а за подключение к SMC каждой дополнительной консоли StealthWatch придется заплатить еще от 1995 до 3995 долл. Основу консоли составляет сервер PowerEdge 1750 фирмы Dell с двумя 3,06 ГГц процессорами, ОЗУ емкостью 4 Гб и дисковым пространством 146 Гб в конфигурации RAID 5.
Столь большие ресурсы нужны для сопоставления сетевого трафика с теми образцами, которые выходят за рамки профилей, накапливаемых со временем в системном ПО StealthWatch. В новой версии появился интерфейс трехмерного отображения состояния StatusView, который
дает наглядное представление об уровне защищенности сети и ее работе в реальном времени. В прежних версиях ПО о такой возможности можно было только мечтать.
Графический дисплей системы в целом удобен, однако мы порекомендовали бы менеджерам ИТ ближе познакомиться и с другими мониторами реального времени, которые имеются в новой версии пакета.
Улучшена в StealthWatch 4.1 и среда исследования рабочего пространства, продемонстрировавшая нам все созданные системой проекции данных и позволившая легко перемещаться между окнами с такой информацией. При этом на экране отображались и таблицы с временными метками, из которых можно было видеть, когда именно отмечены аномалии в работе того или иного сетевого устройства.
Все тесты оборудование SMC прошло без малейшего замечания, и, по нашему мнению, оно вполне сможет эффективно работать в крупномасштабных сетях. Настройку доверительных отношений между StealthWatch и SMC приходится производить вручную, однако подобные подключения очень важны, и времени на них жалеть не нужно. Игра стоит свеч: когда такие отношения установлены, изменять и политику, и конфигурацию системы сразу становится намного легче.
Что же касается возможностей выявления аномалий, то в новой версии StealthWatch они изменились незначительно. На этот раз Lancope сосредоточила свои усилия на совершенствовании функций мониторинга и управления. Отличное впечатление на нас произвели широта и точность отчетов SMC об аномальном поведении тестовой сети. Опираясь на них, мы быстро находили места, где могли возникнуть проблемы безопасности.
РИС 1 SMC намного упрощает выработку политики и слежение за ее выполнением