1. DOŚWIADCZENIE UŻYTKOWNIKA KOŃCOWEGO
Monitorowanie doświadczenia użytkownika (lub UXM) to bez-agentowa i pasywna technologia, która monitoruje ruch sieciowy między użytkownikami, aplikacjami internetowymi i serwerami zaplecza. Mierzy różne parametry, takie jak czas transportu sieciowego, a także czas odpowiedzi aplikacji dla każdego użytkownika, każdej transakcji i każdego elementu aplikacji end-to-end. Pomaga w śledzeniu ogólnego doświadczenia użytkownika i analizowaniu poszczególnych transakcji w celu oceny konkretnych interakcji użytkownika, kodów błędów itp. Ukierunkowanie na użytkownika jest jedną wspólną cechą wszystkich udanych nowoczesnych aplikacji. Niezależnie od tego, czy użytkownik jest klientem czy pracownikiem, to jak odbiera usługę/aplikację może zostać natychmiast zrujnowane przez obniżenie wydajności, bez względu na to, jak dobra jest aplikacja. Łańcuch dostarczania aplikacji składa się z wielu potencjalnych punktów awarii połączonych przez sieć, a ich własność jest zdecentralizowana w wielu działach IT lub zewnętrznych dostawcach.
Aby uniknąć przestojów i zachować wydajność firmy, niezbędna jest znajomość podstawowej przyczyny problemu:
a) Którzy użytkownicy odczuwają najgorsze odpowiedzi aplikacji?
b) Które transakcje zwracają kody błędów?
c) Jak silny jest wpływ zdalnego dostępu?
d) Jakie są relacje między transakcjami użytkownika a transakcjami zaplecza?
e) W jakim stopniu infrastruktura dostawcy usług w chmurze spowalnia moją aplikację?
f) Czy moi użytkownicy wewnętrzni są produktywni?
g) Jakie jest SLA dla mojej aplikacji?
Korzyści:
a) Poprawa produktywność
b) Utrzymanie klientów
c) Ograniczanie negatywnych skutków dla biznesu
d) Kontrola nad zdecentralizowanym IT
e) Raporty w zaledwie 30 minut
2. ROZWIĄZYWANIE PROBLEMÓW I ANALIZA ŚLEDCZA
Flowmon wykracza poza monitorowanie stanu czerwonego / zielonego. Potrzeba więcej niż wiedzy na temat wykorzystania procesora i pamięci RAM lub liczby przesłanych pakietów, aby poradzić sobie z awariami, spadkiem wydajności czy fatalnymi odczuciami / narzekaniem użytkowników. Flowmon zapewnia całościowy widok wszystkich zasobów sieciowych i chmurowych oraz pozwala na centralne monitorowanie wszystkiego. Dzięki temu wiele zespołów nie korzysta z różnych narzędzi do wyciągania różnych wniosków, ale przedstawia kompleksowy obraz całego ruchu i umożliwia wszystkim zespołom IT koordynację i synchronizację wysiłków.
Korzyści:
a) Automatyzacja: rozwiązanie gromadzi, filtruje, przetwarza i analizuje dane w celu identyfikacji degradacji i awarii
b) Optymalizacja czasu pracy: skraca czas poświęcony na ręczną analizę i dochodzenie, aby zrobić miejsce na działania strategiczne.
c) Daje dowody i przypisuje zadania: twarde dane, pokazujące, który łańcuch dostarczania aplikacji jest winny i kto jest odpowiedzialny za naprawienie szkody.
d) Rozwiązywanie problemów: Flowmon pomoże ci wskazać dokładną przyczynę degradacji, abyś mógł działać szybko, zanim biznes odczuje problem.
e) Obniżenie TCO: Unikając nakładania się funkcji i uzyskując pełną widoczność w całym środowisku IT w jednym kompleksowym rozwiązaniu.
f) TTV: sprawne wdrażanie, predefiniowane widoki, pulpity nawigacyjne i raporty.
3. PROGNOZOWANIE I PLANOWANIE
Dokładne prognozowanie to przede wszystkim jedno – wiarygodne dane i analizy. Flowmon to rozwiązanie do monitorowania sieci wykorzystujące technologię NetFlow / IPFIX. Gromadzi, sortuje i wizualizuje dane dotyczące wykorzystania sieci, aby umożliwić zespołom operacyjnym sieci identyfikację profilu wydajności poszczególnych urządzeń, przewidywanie wpływu wykorzystania przepustowości również z perspektywy użytkownika, w tym umów SLA dotyczących wydajności aplikacji. Zarówno statystykami w czasie rzeczywistym, jak i historią, zawsze wiesz, jakiej pojemności potrzebuje Twoja infrastruktura i serwery.
a) Scentralizowany widok aktualnego i historycznego wykorzystania przepustowości
b) Twarde dane do planowania zmian i niezbędnych aktualizacji
c) Raporty dotyczące wykorzystania przepustowości sieci
d) Identyfikacja wąskich gardeł i opóźnień
e) Przewidywalność: świadomość wszystkich zasobów – skalowanie wraz ze wzrostem biznesu.
f) dane, które pozwalają reagować na pojawiające się wymagania we właściwy sposób
g) Zarządzanie kosztami: dokładny plan pozwoli uniknąć niepotrzebnych kosztów nadmiarowej infrastruktury
4. CLOUD/SaaS WYDAJNOŚĆ
Pomimo korzyści, przyjęcie chmury wiąże się z kosztem utraty kontroli nad jakością systemów o kluczowym znaczeniu. Flowmon przekazuje tę kontrolę zespołom NetOps, zapewniając narzędzie do monitorowania wydajności skoncentrowane na chmurze, które pozwala im analizować i rozwiązywać problemy z ruchem w chmurze w dowolnym miejscu w łańcuchu dostaw aplikacji. Flowmon wykorzystuje pasywne czujniki sieciowe dostępne jako urządzenia wirtualne w chmurze prywatnej i publicznej, dostępne z ich odpowiedniego rynku (Amazon AWS, Microsoft Azure, Google Cloud), do sprawdzania całego ruchu pod kątem komunikacji związanej z aplikacjami. Przechowuje informacje o wszystkich transakcjach użytkowników i mierzy opóźnienia w platformie, sieci i czasy odpowiedzi dla różnych komponentów aplikacji. W ten sposób możesz śledzić problemy do poziomu pojedynczych transakcji użytkownika i stale ulepszać aplikację, aby zapobiec poważnym skutkom.
1). WYKRYWANIE NIEZNANYCH ZAGROŻEŃ
Flowmon nie polega na sygnaturach, ma jednak sposoby na ich wykrycie. Jego silnik wykrywania nieznanych zagrożeń wykorzystuje kombinację metod, wszystkie działające jednocześnie, w celu wykrycia złośliwej aktywności, ale także w celu umożliwienia odpowiedzi i analizy post-factum.
a) Machine learning,
b) Metody heurystyczne,
c) Wzorce zachowań,
d) bazy danych reputacji
Rozwiązanie wykorzystuje metadane ruchu sieciowego eksportowane z różnych platform (centrum danych, SaaS, chmura), w tym analizę szyfrowanego ruchu. Wykrywanie nieznanych zagrożeń opiera się na kilku technikach kontroli ruchu sieciowego z kilku punktów widzenia. Po wykryciu zagrożenia użytkownik jest powiadamiany i może natychmiast zobaczyć zdarzenie oraz to, co reprezentuje w danym kontekście. Flowmon może automatycznie wyzwalać odpowiedź poprzez integrację z innymi narzędziami bezpieczeństwa w celu zablokowania lub poddania kwarantannie zagrożenia. Zdarzenie jest rejestrowane i rejestrowane w celu przeprowadzenia pełnego przeglądu kryminalistycznego.
2). ANALIZA ZASZYFROWANEGO RUCHU
To metoda wykrywania złośliwego oprogramowania i oceny kryptograficznej zabezpieczonych sesji sieciowych, która nie polega na deszyfrowaniu. Flowmon Encrypted Traffic Analysis zbiera metadane ruchu sieciowego w formacie IPFIX za pomocą pasywnych sond i wzbogaca je o informacje protokołu TLS (między innymi). Te atrybuty zaszyfrowanej sesji między klientami a serwerami są dostępne niezależnie od fizycznej lokalizacji klienta lub tego, czy serwer działa w chmurze czy w centrum danych. Zapewnia to bogatą wiedzę na temat ruchu i pozwala na identyfikację nieaktualnych certyfikatów SSL, niezgodnych certyfikatów, siły szyfrowania i starych wersji TLS, które mogą zawierać podatności. Ponadto silnik uczenia maszynowego wykorzystuje te dane do przeprowadzania analizy zachowania i wykrywania anomalii w celu identyfikacji złośliwego oprogramowania i innych zagrożeń. Takie podejście nie narusza prywatności ani nie obniża wydajności. Zapewnia wnikliwe analizy bez względu na wielkość. Ponadto, ponieważ dane są przechowywane w formie zagregowanej, oszczędza to znaczną ilość miejsca do przechowywania bez utraty dokładności informacji.
Korzyści – Monitorowanie zgodności
a). Monitoring nieaktualnych i niezgodnych certyfikatów SSL – informacja które aplikacje wymagają aktualizacji
b). sprawdzenie siły szyfrowania poprzez monitorowanie długości klucza i algorytmu sztfrowania
c). Niepożądane wersje TLS zawierające luki w zabezpieczeniach
d) klienci uzyskujący dostęp do niepożądanych witryn wykrytych przez identyfikację nazwy serwera
Korzyści: BEZPIECZEŃSTWO
a.) Wykrywanie zagrożeń cybernetyczne
b). wykrywanie stacje zainfekowanych złośliwym oprogramowaniem, zdiagnozowane przez anomalie w parametrach SSL
c). wykrycie komunikacji z serwerem C&C przez JA3
d). wykrycie ataku typu man-in-the-middle przejawiające się w nietypowych lub nielegalnych certyfikatach
e). Podejrzany rozmiar pakietu wskazujący na eksfiltrację danych
3). ZAGROŻENIA WEWNĘTRZNE
Rozwiązanie Flowmon wykorzystuje metadane ruchu sieciowego eksportowane z różnych platform (centrum danych, SaaS, chmura), wraz z analizą szyfrowanego ruchu. Wykrywanie nieznanych zagrożeń opiera się na kilku technikach (uczenie maszynowe, adaptacyjne bazowanie, heurystyka, wzorce zachowań, bazy danych reputacji, wykrywanie oparte na sygnaturach) Po wykryciu zagrożenia użytkownik jest powiadamiany i może natychmiast zobaczyć zdarzenie oraz to, co reprezentuje w danym kontekście. Flowmon może automatycznie wyzwalać odpowiedź poprzez integrację z innymi narzędziami bezpieczeństwa w celu zablokowania lub poddania kwarantannie zagrożenia. Zdarzenie jest rejestrowane i rejestrowane w celu przeprowadzenia pełnego przeglądu kryminalistycznego. Dobry plan ochrony przed zagrożeniami wewnętrznymi składa się z użytkowników świadomych bezpieczeństwa i sprytnej kombinacji środków do radzenia sobie z sytuacjami przed incydentem, w jego trakcie i po nim. Flowmon uzupełnia istniejące systemy, zapewniając wykrywanie zagrożeń w całym cyklu życia kompromisu. Wykorzystuje uczenie maszynowe, aby zapewnić wgląd w sieć bez szumów, fals-positives, dzięki czemu reakcja na incydent jest szybka i prosta. Pokazuje dokładnie, które aktywa zostały uszkodzone i wymagają naprawy. Dane o wcześniej napotkanych zagrożeniach są przechowywane do późniejszej analizy w celu przetestowania i udoskonalenia gotowości do reakcji na zdarzenie. W ten sposób rozwiązanie zmniejsza ryzyko, poprawia zapobieganie i zapewnia, że system jest przygotowany na przyszłe wyzwania.
4. OCHRONA PRZED ATAKAMI DDoS OPARTYMI NA PRZECIĄŻENIU
Flowmon DDoS Defender to skalowalne rozwiązanie anty-DDoS. Wykorzystuje statystyki flow z routerów lub dedykowanych sond sieciowych z zaawansowaną analizą ruchu sieciowego do natychmiastowego wykrywania ataków wolumetrycznych skierowanych przeciwko aplikacjom i systemom. Zapewnia najnowocześniejsze wykrywanie DDoS, głębokie zrozumienie cech ataku i koordynację działań łagodzących przy użyciu pełnego zakresu metod (RTBH, BGP, PBR i Flowspec). Integruje się z czyszczarkami firm trzecich lub usługami czyszczenia w chmurze. Flowmon DDoS Defender jest w stanie chronić nawet sieci 100G i jest w pełni przygotowany do implementacji multi-tenant. Jest to więc idealne rozwiązanie dla dostawców usług internetowych, aby zapewnić swoim klientom ochronę DDoS jako usługę (MSSP)
1. ŁĄCZENIE NIE DZIELENIE
NetOps i SecOps są często niezależnymi silosami z różnymi technologiami i procesami. Ale w przypadku wycieku danych, awarii lub obniżenia wydajności nie ma znaczenia, jaka jest podstawowa przyczyna. Ważne jest, aby rozwiązać incydent tak szybko i efektywnie, jak to możliwe, aby nie wyrządzić szkody firmie. Gdy zespoły NetOps i SecOps współużytkują zestaw danych i zestaw narzędzi, zyskują możliwość podejmowania wspólnych decyzji i tworzenia skutecznych zasad bezpieczeństwa, które nie wpływają na wydajność. Ponadto koordynacja wydatków na narzędzia i koncentracja na wspólnych danych, przypadkach użycia i technologiach zapewnia znaczne oszczędności na zakupach, wsparciu, szkoleniach i kosztach ogólnych personelu.
2. PROJEKTOWANIE I WDRAŻANIE INFRASTRUKTURY
Infrastrukturę należy budować z myślą o wydajności i bezpieczeństwie. Podczas gdy zespół NetOps doceni dane Flowmon dotyczące struktury sieci podczas określania wielkości, planowania wydajności lub zarządzania wydajnością, zespoły SecOps będą używać tych samych danych do identyfikowania nieuprawnionego ruchu lub usługi. Jest to przydatne np. podczas konfigurowania nowej zapory, gdzie nowe reguły firewalla mogą być testowane w czasie rzeczywistym i dostosowywane w razie potrzeby, oszczędzając czas i wysiłek przy wdrażaniu nowej zapory.
3. MONITOROWANIE I BADANIE INCYDENTÓW BEZPIECZEŃSTWA
Zabezpieczenia obwodowe i końcowe mogą chronić tylko przed zagrożeniami o znanym sygnaturze. Reszta wymaga warstwowego modelu bezpieczeństwa, który może monitorować lukę między obwodem a punktem końcowym i wykrywać wskaźniki kompromisu na poziomie sieci. Chociaż niektóre z nich niekoniecznie stanowią zagrożenie dla bezpieczeństwa i mogą zostać zignorowane przez zespół SecOps, mogą być anomalią, którą zespół NetOps wybiera i angażuje w działania bezpieczeństwa, zanim naruszenie stanie się poważne. Obejmuje to identyfikację części sieci, które zostały naruszone, zasobów i użytkowników, a także tego, co należy ponownie zainstalować lub odzyskać. Informacje te są pobierane z metadanych sieciowych i prezentowane zarówno NetOps, jak i SecOps, aby wspólnie podjąć decyzję o kolejnych krokach.
4. REAGOWANIE NA INCYDENTY BEZPIECZEŃSTWA
Jeśli chodzi o reakcję, to zespół SecOps ocenia ryzyko i decyduje, jak je ograniczyć, ale to zespół NetOps przeprowadza to na poziomie sieci, używając Network Access Control, DHCP, kontrolerów SDN, firewalli. Koordynacja między zespołami i porozumienie w sprawie działań naprawczych są niezbędne, aby skrócić czas reakcji. Flowmon może automatycznie wyzwalać akcję poprzez integrację z narzędziami innych firm, które mogą być używane do reagowania na incydenty. Na przykład może połączyć się z Cisco ISE za pośrednictwem pxGrid i poddać kwarantannie złośliwy adres IP.
5. WERYFIKACJA I EGZEKWOWANIE POLITYK BEZPIECZEŃSTWA
Flowmon zbiera bogate metadane ruchu sieciowego i zapewnia widoczność nawet zaszyfrowanych sesji między klientami a serwerami. Są one dostępne niezależnie od fizycznej lokalizacji klienta lub tego, czy serwer działa w chmurze czy w centrum danych. Zapewnia to bogaty wgląd w ruch i umożliwia identyfikację partnerów komunikacyjnych, usług, aplikacji, a nawet danych, takich jak nieaktualne certyfikaty SSL, certyfikaty niezgodne z zasadami, siła szyfrowania i stare wersje TLS, które mogą zawierać usterki lub podatności . Flowmon dodatkowo przechowuje pełną statystykę komunikacji przez tygodnie lub nawet miesiące i automatycznie wyzwala rejestrację wykrytych anomalii, aby zapewnić pełne śledzenie pakietu zdarzenia.
Korzyści:
a). Optymalizacja wydatków: Połączone zamówienia pozwalają uniknąć zakupu wielu technologii z nakładającymi się funkcjami i poprawiają opłacalność wsparcia, szkolenia personelu i kosztów ogólnych.
b). Redukcja ryzyka: zdolność do egzekwowania zasad zgodności, nadzorowania niepożądanych zachowań i oceny dostępu do danych w czasie rzeczywistym pomaga wyeliminować ryzyko.
c). Minimalizacja wpływu incydentu: Skuteczna współpraca w zakresie badania i obsługi incydentów skraca czas reakcji, aby powstrzymać zagrożenie na wczesnych etapach.
d). Jedno źródło prawdy: zdolność obu zespołów do uzyskiwania dostępu do tych samych informacji za pośrednictwem wspólnej platformy pozwala im łączyć znaczący kontekst i podejmować decyzje.
e). Szybki czas na korzyści: usprawnione wdrażanie, włączanie użytkowników, predefiniowane widoki, pulpity nawigacyjne i raporty. Od wdrożenia do danych na desce rozdzielczej w zaledwie 30 minut.