Co-autores: Lou Norman e Erich Stokes
Uma pepita de ouro pode ser vista como uma informação valiosa que aprimora significativamente as medidas de segurança. Na segurança cibernética, identificar e alavancar essas pepitas de ouro pode ser essential para manter posturas de segurança robustas e impedir que as violações.
Desbloqueando o poder da telemetria de rede
A telemetria de rede é uma ferramenta transformadora para o setor público dos EUA, atuando como uma ‘pepita dourada’ na rede da Cisco e em outros {hardware} do fornecedor. Ele fornece uma riqueza de idéias que podem melhorar significativamente as estratégias de gerenciamento e segurança de rede. Ao aproveitar efetivamente os dados de telemetria, as organizações do setor público podem obter um entendimento abrangente do desempenho da rede, detectar anomalias e otimizar a alocação de recursos.
Essa capacidade não apenas melhora a eficiência operacional, mas também fortalece as medidas de segurança, garantindo que as redes permaneçam robustas e resistentes a ameaças em potencial. As soluções de telemetria de rede da Cisco capacitam as entidades do setor público a desbloquear todo o potencial de sua infraestrutura de rede, impulsionando a inovação e a eficiência em suas operações. No entanto, muitas organizações não estão utilizando totalmente esse recurso poderoso.
Este weblog está estruturado em uma série de três partes para facilitar uma compreensão mais profunda da telemetria de rede.
Em Parte 1, “Definindo telemetria de rede”definiremos a telemetria de rede, fornecendo uma base sólida para os leitores novos no tópico.
Em Parte 2, “Uma Telemetria de Rede de Rede de Entendimento Mais Desejo”exploraremos uma compreensão mais abrangente da telemetria de rede.
Em Parte 3, “Aplicações e benefícios da telemetria de rede”mudaremos o foco para o lado prático, discutindo os benefícios da telemetria de rede e como a Cisco pode ajudar seu setor público dos EUA a desbloquear seu potencial.
Parte 1: Definindo telemetria de rede
Como observado, a telemetria de rede é uma ferramenta transformadora para o setor público dos EUA. É uma tecnologia usada para obter insights e envolve várias técnicas para coleta, correlação e consumo de geração de dados remotos.
De acordo com a Força -Tarefa de Engenharia da Web (IETF), a telemetria de rede é uma tecnologia para ganhar perception de rede e facilitar o gerenciamento de rede eficiente e automatizado
Qualquer informação que possa ser extraída das redes e usada para obter visibilidade ou como base para ações é considerada telemetria de rede. Além disso, os dados de telemetria podem incluir estatísticas, até registros, logs, instantâneos de estado e dados de configuração, que são extraídos das redes para fornecer visibilidade ou servir de base para ações. Os dados de telemetria podem vir de roteadores, interruptores, firewalls e podem até vir dos registros de provedores de nuvem pública como AWS, Google e Azure.
Benefícios de segurança de visibilidade de telemetria de rede
A visibilidade da telemetria de rede aprimora significativamente a segurança, fornecendo às organizações a capacidade de identificar todas as entidades e monitorar todas as comunicações em sua rede. Esse recurso permite que as organizações estabeleçam uma linha de base do comportamento regular para cada usuário ou host, entendendo quem acessa quais informações a qualquer momento. Essa linha de base é essencial para detectar anomalias e ameaças em potencial, pois permitem alertas imediatos quando ocorrem desvios do comportamento regular. Essa visibilidade abrangente garante que as empresas possam responder rapidamente a ameaças, minimizando assim seu impacto nas informações críticas.
Ao alavancar dados de telemetria ricos, as organizações podem conduzir investigações forenses, entender a fonte e a disseminação de ameaças e garantir a conformidade com as políticas de segurança. Essa capacidade é essencial para manter uma postura de segurança robusta e apoiar o gerenciamento eficiente de rede.
Definições
Vamos definir os seguintes tipos de telemetria de rede:
Netflow
Netflow é uma tecnologia Cisco que fornece estatísticas sobre pacotes que fluem através de dispositivos. É o padrão para adquirir dados operacionais de redes IP e fornece dados para ativar o monitoramento de rede e segurança, planejamento de rede, análise de tráfego, contabilidade de IP e é suportado por muitos fornecedores
Ipfix
Exportação de informações de fluxo do protocolo da Web (IPFIX) é um protocolo de exportação padrão IETF Para enviar pacotes NetFlow. É baseado em Netflow versão 9 e é usado para exportar informações de fluxo de IP para fins como contabilidade, auditoria e segurança. IPFIX Codecs NetFlow Information e transfere as informações de um exportador para um coletor usando UDP como protocolo de transporte. O IPFIX também é suportado por muitos fornecedores.
Nsel
NetFlow Safe Occasion Logging (NSEL) é um tipo de telemetria de rede suportado pelos firewalls da Cisco que fornece um método de rastreamento de fluxo IP com estado. Ele exporta registros indicando eventos significativos em um fluxo, como criação de fluxo, fluxo de fluxo, desenvolvido de fluxo e atualização de fluxo. Também pode fornecer tradução para conexões NAT e PAT através do firewall.
O NSEL gera eventos periódicos de atualização de fluxo para fornecer contadores de bytes durante a duração do fluxo, semelhante ao NetFlow tradicional. Esses eventos são acionados por alterações de estado no fluxo e são usados para exportar dados sobre o standing do fluxo.
Análise de tráfego criptografada (ETA)
ETA A Cisco Patente Expertise, é um tipo de telemetria de rede que aproveita FLOFFOL FLEXIBLE (FNF) Tecnologia para exportar informações úteis sobre os fluxos de rede para os colecionadores, fornecendo visibilidade para a rede. O ETA é usado para análises de ameaças baseadas em telemetria aprimoradas e identificação de malware, mesmo em tráfego criptografado, sem a necessidade de descriptografia.
Engine de visibilidade criptografado (EVE)
Eve é uma tecnologia usada pela Cisco para inspecionar a parte do cliente do Hiya do Handshake de TLS para identificar processos do cliente. O EVE também faz uma função semelhante com o Protocolo Fast UDP Web Connections (Quic). O QIC é mais rápido que o TLS e está rapidamente se tornando o protocolo de escolha sobre o TLS para muitas aplicações. Este pacote de dados inicial enviado ao servidor ajuda a identificar o processo do cliente no host. Eve usa essa impressão digital, juntamente com outros dados como o endereço IP de destino, para identificar aplicativos e tomar ações apropriadas, como permitir ou bloqueá -los. Ele pode identificar mais de 5.000 processos do cliente e mapeá -los para aplicativos do cliente para obter regras de controle de acesso sem permitir a descriptografia.
O EVE também usa o aprendizado de máquina para processar as impressões digitais TLS e as amostras de malware diariamente, atualizando suas impressões digitais através do pacote de banco de dados da Cisco Vulnerability. Ele pode bloquear o tráfego malicioso criptografado sem descriptografia de saída e permite a criação de regras de exceção para ignorar seu veredicto em bloco para redes confiáveis ou atividades de teste internas.
Nvm
Módulo de visibilidade da rede é uma tecnologia que fornece telemetria de endpoint, criando dados contínuos de exportação de informações sobre fluxo IP aprimorado (IPFIX). Oferece dados comportamentais ricos do usuário, permitindo a visibilidade na direção e quantity do tráfego do usuário, destino desse tráfego, processos de software program e aplicativos presentes no terminal e detalhes sobre o dispositivo.
A telemetria NVM é usada para analisar riscos e violações de segurança específicos do ponto de extremidade e pode ser integrado a outras soluções de segurança para uma visibilidade abrangente do ponto de extremidade.
A telemetria de rede refere -se à coleta e análise de dados de dispositivos de rede para obter informações sobre os padrões de desempenho, segurança e uso da rede. O {hardware} de rede da Cisco está equipado com a capacidade de gerar vários tipos de dados de telemetria.
Conclusão
Em conclusão, a telemetria de rede serve como uma ferramenta transformadora para o setor público dos EUA, fornecendo informações abrangentes sobre os padrões de desempenho, segurança e uso da rede. Em Parte 1 Desta série de blogs, definimos a telemetria de rede. Em Parte 2 Faremos um mergulho mais profundo para entender a telemetria de rede e discutir como o {hardware} da rede da Cisco, equipado com recursos avançados de telemetria, permite que as organizações aproveitem os dados de maneira eficaz, aumentando assim os processos de tomada de decisão e a eficiência operacional.
Ao alavancar dados de telemetria, as entidades do setor público podem abordar proativamente ameaças em potencial, otimizar a alocação de recursos e garantir a conformidade com as políticas de segurança. Esse recurso não apenas fortalece as posturas de segurança, mas também suporta o gerenciamento eficiente de ambientes de rede complexos, contribuindo para a melhor prestação de serviços e a resiliência do setor público.
Recursos
Guia de arquitetura de telemetria da Cisco
Cisco Safe Community Analytics + Splunk
Compartilhar: