3つのオプションがあります。 1つ目は、内部ネットワークに別の、しかし既に重ねられたセキュリティネットワークを構築することですか? セキュリティ製品のメーカーは、内部ネットワークフローを監視および制御し、悪意のあるコードや不正なアプリケーションを検出する多くのIPSセンサーやファイアウォールなど、このオプションの提案を喜んで準備すると思います。 しかし、このオプションには多くの困難が伴います。 第一に、必ずしも既存のネットワーク設計ではないため、このような接続が可能です。 ネットワークがセキュリティの影響を受けない速度で実行されているか、IDSを接続するためのスパンポートが既に使用されているか、会社は仮想化を積極的に使用しており、セキュリティツールは物理サーバーを超えないトラフィックを効果的に制御できません。 第二に、内部ネットワークへの追加デバイスのインストールにはかなりの財源が必要であり、困難な経済状況の状況では常に実行可能ではありません。
2番目によく推奨されるオプションは、サーバーおよびワークステーションにセキュリティ機能をインストールし、不正なユーザーアクティビティを検出またはブロックすることです。 すべてがそうですが、...プリンター、スキャナー、産業用コントローラー、IPビデオ監視、およびアクセス制御システムをどうするか? 結局のところ、ユーザーは彼らのために働いておらず(また、従来の方法で認証することもできません)、ウイルス対策、HIPS、またはその他の保護手段でインストールすることはできません。 多くの場合、これらのデバイスは、ユーザーのコンピューター以外にも存在する可能性があり、攻撃者の標的になったり、企業の内部ネットワークでさらに宣伝するためのプラットフォームになったりすることがありました。 そのようなデバイスでは、トラフィックインターセプターをインストールでき、到達可能なすべてのものを探知します。 また、このようなセキュリティポリシー違反は、PCおよびサーバーを保護するいかなる手段によっても原則として通知されません。 また、保護されていないWi-Fiまたは4Gモデムの形でバイパスチャネルが存在すると、企業の境界を保護する手段をバイパスして機密データが漏洩する可能性があります。
または、このタスクを既に存在するものに割り当て、どれだけのかなりの資金が投資されているのでしょうか? ネットワークインフラストラクチャ、ルーター、スイッチ、およびアクセスポイントについて話します。これらは、トラフィックをポイントAからポイントBに転送するだけでなく、このトラフィックを効果的に保護し、同時にセンサー、防護壁、およびセキュリティインシデントに対応するためのツールとしても機能します。 実際、本質的に、各ネットワークデバイスはネットワーク保護システムのセンサーです。トラフィックはデバイスを通過し、トラフィックは識別および分類され、トラフィックは宛先に向けられます。 次のステップに進み、「ISポリシーの観点から」というフレーズをこれらの各ポイントに追加してみませんか? 境界上のITUにトラフィックを持ち込まずにルーターまたはスイッチレベルでアプリケーションを識別することができないのはなぜですか? トラフィックをスパンポートからIDSに切り替えずに、インフラストラクチャ機器の機能を使用せずに攻撃を識別することができないのはなぜですか? 侵入者が接続するスイッチポートでトラフィックをブロックできず、トラフィックがITUに到達するのを待てないのはなぜですか? ユーザーまたはデバイスの場所に応じてアクセス制御リストを動的に変更し、ネットワーク内のトラフィックの制御されていない循環と内部リソースへの無制限のユーザーアクセスに目を向けないのはなぜですか?
そして、なぜ実際には不可能なのでしょうか? できる! これはまさに、シスコがネットワークインフラストラクチャで行っていることであり、セキュリティシステムのセンサー(センサーとしてのネットワーク)としてだけでなく、セキュリティシステム(エンフォーサーとしてのネットワーク)および情報セキュリティインシデントを調査するためのシステムとしても機能します。 ソースデータとして、Netflowプロトコルを使用します。これは、通過するトラフィックに関するすべての必要なデータを提供し、ISポリシーに重要なすべての質問(誰が、何を、いつ、どこで、どこで、どのように)に答えます。 NetFlowを使用すると、トラフィックの分類、アプリケーションの識別、攻撃とリークの識別、不正なアプリケーションの使用または外部ノードの出現の検出、インシデント調査の実施、ネットワークへの侵入者のエントリポイントの識別を行うことができます。 これらすべてにより、Netflowを作成できます。これは、Cisco Cyber Threat Defenseソリューションに埋め込まれた情報のインテリジェンスに重ねられます。 不正アクセスの差別化とブロックは、 Cisco TrustSecテクノロジーの基盤となるアクセスコントロールリストとセキュリティタグSGT(セキュリティグループタグ)によって実現されます。CiscoIdentity Service Engine(ISE)は、何万ものデバイスのすべてのセキュリティ設定を効果的に管理するのに役立ちます。
ネットワークインフラストラクチャ自体に組み込まれているこのネットワークセキュリティソリューションの興味深い点は何ですか? 内部ネットワークのセキュリティ問題を解決し、発生時に問題をローカライズするだけでなく、保護機器が設置されているネットワーク内の境界または一部の制御ポイントに到達するときではなく、インフラストラクチャへの投資の保護と提供する機能の利点が得られます予算削減のコンテキストでの企業保護。 結局のところ、すでにインフラストラクチャがあります。 必要なのは、Cisco Cyber Threat Defense情報セキュリティシステムの観点から見たNetflow分析および可視化システムと、ダイナミックアクセス制御リスト管理システムであるCisco Identity Service Engineだけです。
組み込みのインフラストラクチャメカニズムを使用したネットワークセキュリティに対するシスコのアプローチの詳細については、プレゼンテーションでご覧いただけます。
脅威。 しかし、境界線の保護とネットワーク内でのIDS / IPS / ITUのインストールは、まだ誰もキャンセルされていません。 それだけでは、もはや節約できません。 理想的には、内部ネットワークの保護と統合し、統一されたポリシーに従って機能する必要があります。