Đảm bảo an ninh mạng trong môi trường CNTT thay đổi nhanh chóng và sự phát triển liên tục của người dùng đòi hỏi một loạt các công cụ tinh vi để thực hiện phân tích thời gian thực. Cơ sở hạ tầng giám sát của bạn có thể có giám sát hiệu suất mạng và ứng dụng (NPM/APM), trình ghi dữ liệu và trình phân tích mạng truyền thống, trong khi hệ thống phòng thủ của bạn tận dụng tường lửa, hệ thống bảo vệ xâm nhập (IPS), ngăn chặn rò rỉ dữ liệu (DLP), phần mềm chống phần mềm độc hại và các giải pháp khác.
Bất kể các công cụ giám sát và bảo mật chuyên dụng đến đâu, tất cả đều có hai điểm chung:
• Cần biết chính xác những gì đang xảy ra trong mạng
• Kết quả phân tích chỉ dựa trên dữ liệu nhận được
Một cuộc khảo sát do Hiệp hội Quản lý Doanh nghiệp (EMA) thực hiện năm 2016 cho thấy gần 30% số người được hỏi không tin tưởng vào công cụ của họ để nhận được tất cả dữ liệu họ cần. Điều này có nghĩa là có những điểm mù giám sát trong mạng, cuối cùng dẫn đến những nỗ lực vô ích, chi phí quá mức và nguy cơ bị tấn công cao hơn.
Khả năng hiển thị đòi hỏi phải tránh đầu tư lãng phí và các điểm mù giám sát mạng, đòi hỏi phải thu thập dữ liệu có liên quan về mọi thứ đang diễn ra trong mạng. Các bộ chia/bộ chia và cổng phản chiếu của thiết bị mạng, còn được gọi là cổng SPAN, trở thành điểm truy cập được sử dụng để thu thập lưu lượng để phân tích.
Đây là một "hoạt động" tương đối đơn giản; thách thức thực sự là làm sao để có được dữ liệu hiệu quả từ mạng đến mọi công cụ cần dữ liệu. Nếu bạn chỉ có một vài phân đoạn mạng và tương đối ít công cụ phân tích, thì hai công cụ này có thể được kết nối trực tiếp. Tuy nhiên, xét đến tốc độ mà mạng tiếp tục mở rộng, ngay cả khi về mặt logic là có thể, thì vẫn có khả năng cao là kết nối một-một này sẽ tạo ra cơn ác mộng khó giải quyết về mặt quản lý.
EMA báo cáo rằng 35% các tổ chức doanh nghiệp nêu lý do chính khiến họ không thể giám sát đầy đủ các phân đoạn mạng của mình là do thiếu cổng SPAN và bộ chia. Các cổng trên các công cụ phân tích cao cấp như tường lửa cũng có thể khan hiếm hơn, vì vậy điều quan trọng là bạn không được quá tải thiết bị và làm giảm hiệu suất.
Tại sao bạn cần Network Packet Broker?
Network Packet Broker (NPB) được cài đặt giữa các cổng splitter hoặc SPAN được sử dụng để truy cập dữ liệu mạng, cũng như các công cụ bảo mật và giám sát. Như tên gọi của nó, chức năng cơ bản của network packet broker là: phối hợp dữ liệu gói mạng để đảm bảo rằng mỗi công cụ phân tích thu được chính xác dữ liệu cần thiết.
NPB bổ sung thêm một lớp thông tin tình báo ngày càng quan trọng giúp giảm chi phí và độ phức tạp, giúp bạn:
Để có được dữ liệu toàn diện và chính xác hơn để đưa ra quyết định tốt hơn
Công cụ môi giới gói tin mạng có khả năng lọc nâng cao được sử dụng để cung cấp dữ liệu chính xác và hiệu quả cho các công cụ giám sát và phân tích bảo mật của bạn.
An ninh chặt chẽ hơn
Khi bạn không thể phát hiện mối đe dọa, rất khó để ngăn chặn nó. NPB được thiết kế để đảm bảo tường lửa, IPS và các hệ thống phòng thủ khác luôn có quyền truy cập vào dữ liệu chính xác mà chúng cần.
Giải quyết vấn đề nhanh hơn
Trên thực tế, chỉ cần xác định vấn đề đã chiếm tới 85% MTTR. Thời gian chết có nghĩa là mất tiền và xử lý sai có thể gây ra tác động tàn phá đến doanh nghiệp của bạn.
Tính năng lọc theo ngữ cảnh do NPB cung cấp giúp bạn khám phá và xác định nguyên nhân gốc rễ của vấn đề nhanh hơn bằng cách giới thiệu trí thông minh ứng dụng tiên tiến.
Tăng cường sáng kiến
Siêu dữ liệu do NPB thông minh cung cấp thông qua NetFlow cũng tạo điều kiện thuận lợi cho việc truy cập dữ liệu thực nghiệm để quản lý việc sử dụng băng thông, xu hướng và mức tăng trưởng nhằm giải quyết vấn đề ngay từ đầu.
Lợi nhuận đầu tư tốt hơn
Smart NPB không chỉ có thể tổng hợp lưu lượng từ các điểm giám sát như công tắc mà còn có thể lọc và đối chiếu dữ liệu để cải thiện việc sử dụng và năng suất của các công cụ bảo mật và giám sát. Bằng cách chỉ xử lý lưu lượng có liên quan, chúng tôi có thể cải thiện hiệu suất công cụ, giảm tắc nghẽn, giảm thiểu các kết quả dương tính giả và đạt được phạm vi bảo mật lớn hơn với ít thiết bị hơn.
Năm cách để cải thiện ROI với Network Packet Brokers:
• Xử lý sự cố nhanh hơn
• Phát hiện lỗ hổng nhanh hơn
• Giảm gánh nặng của các công cụ bảo mật
• Kéo dài tuổi thọ của các công cụ giám sát trong quá trình nâng cấp
• Đơn giản hóa việc tuân thủ
NPB có thể làm chính xác những gì?
Tổng hợp, lọc và phân phối dữ liệu nghe có vẻ đơn giản trên lý thuyết. Nhưng trên thực tế, NPB thông minh có thể thực hiện các chức năng rất phức tạp, mang lại hiệu quả và mức tăng bảo mật cao hơn theo cấp số nhân.
Cân bằng tải lưu lượng là một trong những chức năng. Ví dụ, nếu bạn đang nâng cấp mạng trung tâm dữ liệu của mình từ 1Gbps lên 10Gbps, 40Gbps hoặc cao hơn, NPB có thể làm chậm lại để phân bổ lưu lượng tốc độ cao cho một loạt các công cụ giám sát phân tích tốc độ thấp 1G hoặc 2G hiện có. Điều này không chỉ mở rộng giá trị đầu tư giám sát hiện tại của bạn mà còn tránh được các nâng cấp tốn kém khi CNTT được di chuyển.
Các tính năng mạnh mẽ khác được NPB thực hiện bao gồm:
Các gói dữ liệu trùng lặp được loại bỏ
Các công cụ phân tích và bảo mật hỗ trợ việc tiếp nhận một số lượng lớn các gói tin trùng lặp được chuyển tiếp từ nhiều bộ chia. NPB có thể loại bỏ trùng lặp để ngăn các công cụ lãng phí năng lượng xử lý khi xử lý dữ liệu dư thừa.
Giải mã SSL
Mã hóa Secure Socket Layer (SSL) là kỹ thuật tiêu chuẩn được sử dụng để gửi thông tin riêng tư một cách an toàn. Tuy nhiên, tin tặc cũng có thể ẩn các mối đe dọa mạng độc hại trong các gói được mã hóa.
Kiểm tra dữ liệu này phải được giải mã, nhưng việc phân tích mã đòi hỏi sức mạnh xử lý quý giá. Các nhà môi giới gói tin mạng hàng đầu có thể chuyển giao việc giải mã khỏi các công cụ bảo mật để đảm bảo khả năng hiển thị tổng thể trong khi giảm gánh nặng cho các tài nguyên có chi phí cao.
Che giấu dữ liệu
Giải mã SSL giúp dữ liệu có thể được nhìn thấy bởi bất kỳ ai có quyền truy cập vào các công cụ bảo mật và giám sát. NPB có thể chặn số thẻ tín dụng hoặc số An sinh xã hội, thông tin sức khỏe được bảo vệ (PHI) hoặc thông tin nhận dạng cá nhân nhạy cảm khác (PII) trước khi truyền thông tin, do đó thông tin đó không được tiết lộ cho công cụ và người quản lý của công cụ.
Tách tiêu đề
NPB có thể xóa các tiêu đề như VLAN, VXLAN, L3VPN, do đó các công cụ không thể xử lý các giao thức này vẫn có thể nhận và xử lý dữ liệu gói. Khả năng hiển thị theo ngữ cảnh giúp phát hiện các ứng dụng độc hại đang chạy trên mạng và dấu vết mà kẻ tấn công để lại khi chúng hoạt động trong hệ thống và mạng.
Ứng dụng và thông tin tình báo về mối đe dọa
Phát hiện sớm các lỗ hổng giúp giảm mất thông tin nhạy cảm và cuối cùng là chi phí cho lỗ hổng. Khả năng hiển thị theo ngữ cảnh do NPB cung cấp có thể được sử dụng để phát hiện các chỉ số xâm nhập (IOC), xác định vị trí địa lý của các vectơ tấn công và chống lại các mối đe dọa mật mã.
Trí thông minh ứng dụng mở rộng ra ngoài lớp 2 đến 4 (mô hình OSI) của dữ liệu gói lên đến lớp 7 (lớp ứng dụng). Dữ liệu phong phú về hành vi và vị trí của người dùng và ứng dụng có thể được tạo và xuất để ngăn chặn các cuộc tấn công lớp ứng dụng khi mã độc giả dạng dữ liệu bình thường và các yêu cầu hợp lệ của khách hàng.
Khả năng hiển thị theo ngữ cảnh giúp phát hiện các ứng dụng độc hại đang chạy trên mạng của bạn và dấu vết mà kẻ tấn công để lại khi chúng hoạt động trên hệ thống và mạng của bạn.
Giám sát ứng dụng
Khả năng hiển thị của nhận thức ứng dụng cũng có tác động sâu sắc đến hiệu suất và quản lý. Có lẽ bạn muốn biết khi nào nhân viên sử dụng các dịch vụ dựa trên đám mây như Dropbox hoặc email dựa trên web để bỏ qua các chính sách bảo mật và chuyển các tệp của công ty hoặc khi nào nhân viên cũ cố gắng truy cập các tệp bằng các dịch vụ lưu trữ cá nhân dựa trên đám mây.
Lợi ích của NPB
• Dễ sử dụng và quản lý
• Trí thông minh giúp loại bỏ gánh nặng cho nhóm
• Không mất gói tin - chạy các tính năng nâng cao
• Độ tin cậy 100%
• Kiến trúc hiệu suất cao
Thời gian đăng: 20-01-2025
