И что же же такое Cisco StealthWatch – по сути это средство обеспечения ИБ в сети, которое основано сборе телеметрических данных с различных устройств, т.е не только с МСЭ стоящих на периметре, а также с инфраструктурных устройств, таких как маршрутизаторы, коммутаторы, серверы с виртуальными машинами и даже с пользовательских устройств (не важно подключены они изнутри корпоративной сети или находятся за ее пределами).
Поскольку в качестве основного протокола сбора данных о телеметрии в решении Cisco StealthWatch является широкоизвестный и популярный NetFlow/IPFIX, это позволяет обойтись без отдельной выделенной физической сети для мониторинга, т.е можно использовать уже имеющееся сетевое оборудование. А если на каком-то участке корпоративной сети нет устройств с поддержкой NetFlow, то в Cisco StealthWatch есть решение и для этого случая.
Причем Cisco StealthWatch не просто собирает эти данные (т.е является коллектором этих данных), он умеет их дедуплицировать, обогащать данные телеметрии данными с других источников и т.д., все это формирует из разрозненных источников информации наиболее полный контекст ИБ о потоках трафика в корпоративной сети, доступный в real time режиме. Расширенную информацию о контексте безопасности для Cisco StealthWatch предоставляет другое решение — Cisco ISE, а также облачные службы Cisco, содержащие базы данных IP/URL-репутаций).
C помощью Cisco StealthWatch вся корпоративная сеть передачи данных трансформируется в единый сенсор, детектирующий атаки, аномальное поведение и т.д… Данное решение выходит за пределы корпоративной сети, позволяя даже мониторить облачные среды и мобильных пользователей. Решение знает все про каждый хост и пользователя в сети, записывает все его действия в сети (в том числе видит сетевой трафик на уровне сигнатур приложений), отслеживает отклонения от «нормального» поведения (причем в решении есть возможность создания профиля «правильного» поведения (baseline) в виде механизма автообучения), обеспечивает хранение этих данных, позволяет делать выборки из этих данных (включая анализ подозрительной активности, так как в Cisco StealthWatch уже зашито больше 100 различных алгоритмов обнаружения аномалий и поведения), предупреждает администраторов о любых изменениях. Решение можно использовать в качестве инструмента для проведения постоянного аудита работоспособности традиционных средств обеспечения ИБ, а также его полезно использовать для расследования путей распространения вредоносного кода и векторов атаки (та самая возможность «нырнуть» в исторические данные).
Всем интересующимся и желающим получить более подробную информацию о Cisco StealthWatch мы рекомендуем посмотреть запись презентации о решении Cisco StealthWatch, любезно проведенной инженером-консультантом Cisco по ИБ Василием Томилиным, за что выражаем ему отдельную благодарность: