Network Intelligence 7550-HA

Firma Network Intelligence opracowała serię HA urządzeń SEM różniących się szybkością działania. Testowane urządzenie 7550 może stabilnie obsługiwać strumień osiągający szybkość 7,5 tys. zdarzeń na sekundę oraz chwilowe przeciążenia do 9 tys. zdarzeń na sekundę.

Należy przy tym odnotować, że trzy progi wydajnościowe określone dla tego urządzenia - 2,5 tys., 5 tys. i 7,5 tys. zdarzeń na sekundę - są związane z licencjonowaniem i podwyższenie wydajności jest relatywnie szybkie do uzyskania poprzez zmianę opłaty licencyjnej. Ponieważ faktyczna szybkość sprzętowa przetwarzania zdarzeń jest modularna, to jest w stanie przetwarzać natłok zdarzeń przewyższający limit licencyjny. Firma zapewnia, że limit licencyjny nie powoduje gubienia zdarzeń.

Jednym z czynników zapewniających taką szybkość działania jest nierelacyjna baza danych Network Intelligence. To firmowe rozwiązanie bazy zaprojektowano specjalnie do zbierania z możliwie największą szybkością i przechowywania zdarzeń bezpieczeństwa. Urządzenie 7550 nie używa bazy relacyjnej, tak więc może skompresować zbierane dane nawet w 95%. Baza danych nie jest także normalizowana, tak więc dane o zdarzeniach nie są gubione. Każde zdarzenie otrzymuje swój cyfrowy "odcisk palca" dla jednoznacznej identyfikacji.

Unikatową cechą 7550-HA jest systemowy punkt odniesienia. Urządzenie "uczy" się typowych charakterystyk operacyjnych przedsiębiorstwa i może podnosić alarm, jeżeli tak ustalone parametry zostaną naruszone. Jest to szczególnie użyteczne w wypadku ataków "dnia zerowego", kiedy to sygnatury konieczne do wykrycia zagrożenia jeszcze nie istnieją.

Ponadto urządzenie może wykrywać ataki wolno rozwijające się. Zdarzenia do korelacji są brane z przedziałów 30-godzinnych, tak więc zdarzenia związane z bezpieczeństwem, które pojawiły się jedynie okazjonalnie, takie jak źle wprowadzone hasło użytkownika z pojedynczego adresu IP spoza sieci, są wyłapywane w sposób ciągły i monitorowane w celu upewnienia się, czy nie są to rozproszone próby ataku rozciągniętego w czasie. Chociaż inne SEM mają podobne możliwości, to jedynie 7550 przechowuje zdarzenia z tak długiego przedziału czasowego.

Urządzenie Network Intelligence, podobnie jak oprogramowanie e-Security Sentinel, pozwala ustawiać różne poziomy uprawnień dla grup użytkowników, a także indywidualne uprawnienia, w taki sposób, aby operator konsoli widział jedynie te zadania, do których ma uprawnienia. Do najnowszej wersji 7550-HA Network Intelligence dodała także kompletny zestaw raportów zgodności i funkcji monitorowania.

Urządzenie jest łatwe w użytkowaniu i implementacji oraz szybkie w działaniu. Powinno spełnić wymagania zarządzania ochroną w przedsiębiorstwie.

Symantec Security Information Manager 9550 Appliance

Urządzenie Symantec pojawiło się stosunkowo niedawno na tym konkurencyjnym rynku i oferuje funkcjonalność, której nie można porównać z innymi rozwiązaniami - pełną subskrypcję usługi DeepSight Threat Management System. Globalna usługa DeepSight daje urządzeniu dostęp do wiedzy o zdarzeniach z zakresu bezpieczeństwa, jakie pojawiły się gdziekolwiek w świecie.

Oprócz połączenia z DeepSight, urządzenie Symantec zawiera relacyjną bazę danych IBM DB2, pamięć liczoną w terabajtach oraz wsparcie dla pamięci zewnętrznej i zewnętrznej bazy danych.

Do określania stopnia narażenia i wpływu zdarzeń bezpieczeństwa na działanie biznesu można używać zarówno własnego skanera VA, jak i Deep-Sight. Symantec zapewnia także firmowy mechanizm LiveUpdate, który pozwala na utrzymanie urządzenia 9550 w stanie uaktualnionym o najnowsze alarmy i zalecenia związane z bezpieczeństwem.

Urządzenie w konfiguracji dostarczonej do testów może zbierać i przechowywać 3 tys. zdarzeń na sekundę (średnia szybkość), ale motor korelacji może ich obsługiwać 21 tys. Jest to wielkość wskazująca na dużą skalowalność, aczkolwiek jedynym środkiem skalowania jest zakup dodatkowego sprzętu. Większe przedsiębiorstwa mogą wybrać rozbudowę 9550 o motor zbierający 9500.

Urządzeniem steruje się za pomocą interfejsu webowego i Javy. Niestety, wirtualna maszyna Javy używana przez Symantec jest przywiązana do platformy Windows. Chociaż interfejs jest dobrze zaprojektowany i zorganizowany, to nie zapewnia dobrego rozwinięcia szczegółów. Wykresy można jednak rozwijać, aczkolwiek ich prezentacje nie są najwygodniejsze.

Wybór SEM zadaniem niełatwym

Wybór pakietu do zarządzania zdarzeniami bezpieczeństwa nie jest prostym zadaniem. Trzeba sobie zdawać sprawę z tego, że SEM będzie miał dostęp do najbardziej "intymnych" szczegółów organizacji i będzie oddziaływał na każdy aspekt codziennej działalności organizacji. Musi mieć możliwość zbierania informacji z każdego urządzenia w sieci, radzić sobie ze zwielokrotnionym poziomem aktywności w sieci, a także identyfikować w morzu szumów zdarzenia o istotnym znaczeniu - realne zagrożenia bezpieczeństwa czy naruszenia reguł polityki.

Pod tym względem wszystkie trzy produkty, to dobry towar. Niezależnie od wyboru któregokolwiek z nich, z dużym prawdopodobieństwem można założyć, że będzie ono odpowiadało wymaganiom przedsiębiorstwa. Jednak pewne szczegóły różnicują te rozwiązania. Network Intelligence i e-Security wypadły najlepiej w testach, ale Symantec też zasługuje na wyróżnienie - za zapewnienie solidnego narzędzia do projektowania modułów zbierania danych.

Wszystkie trzy SEM w sposób adekwatny określają znaczenie zdarzenia w zbiorze wszystkich działań (odkryły nawet niekompletnie skonfigurowany serwer DNS użyty do testów). Każde rozwiązanie dostarcza analizy rozpoznawcze i możliwości korelacji - Network Intelligence 7550-HA używa punktów odniesienia w wykrywaniu anomalii, Symantec 9550 wykorzystuje aktualne informacje o atakach zbieranych przez DeepSight. Wszystkie jednak wypadły porównywalnie w testach generujących ruch.

Istotne różnice można znaleźć w łatwości użytkowania, elastyczności przepływu zadań i ogólnym zarządzaniu oraz skalowalności. W tym aspekcie e-Security Sentinel i Network Intelligence 7550-HA wypadają najlepiej.

Poza zapewnieniem najlepszego interfejsu użytkownika i mechanizmów raportowania, e-Security Sentinel i Network Intelligence 7550-HA mogą obsługiwać duże obciążenia transakcjami i są generalnie łatwiejsze w operowaniu niż rozwiązanie Symantec. W konsekwencji skalowalna architektura tych dwóch rozwiązań powinna także zapewniać większe możliwości w zakresie korelacji, ponieważ mogą one zapewnić większą liczbę danych.

Nie oznacza to jednak, że rozwiązanie Symantec jest nieodpowiednie. Globalne centrum wywiadowcze Symantec i automatyczne uaktualnianie są nie do przecenienia, ponieważ mogą zapewnić informacje o zagrożeniach globalnych i wtedy nawet nieco niższy poziom wydajności może być mniej istotnym problemem.