Компания Arbor Networks объявила о продвижении на российский рынок платформы безопасности Arbor Spectrum, предназначенной для обнаружения и расследования целевых атак.

Созданная в 2000 году, Arbor Networks специализируется на разработке ПО информационной безопасности, которое защищает сети от распределенных атак, вызывающих отказы в обслуживании (Distributed Denial-of-Service, DDoS), ботнетов, червей, а также способно предотвращать попытки внешнего воздействия на сетевые маршрутизаторы. Arbor Networks — частная компания, годовой доход которой превышает 160 млн долл. Ее клиентами, по данным самой компании, являются ведущие операторы, включая «Ростелеком».

К важнейшим активам Arbor Networks относится глобальная система мониторинга и анализа сетевого трафика Atlas, источниками информации для которой служат датчики сенсорной сети Atlas Sensor Network, расположенные в сетях ведущих операторов, а также решения защиты Arbor от DDoS-атак, установленные в сетях клиентов компании. На базе полученных данных формируются списки сигнатур, которыми снабжаются все используемые заказчиками системы Arbor. Технологические партнеры компании — Cisco Systems, IBM, Juniper Networks.

По словам Ярослава Росомахо, менеджера по развитию партнерских отношений Arbor Networks, платформа Arbor Spectrum, использующая для анализа сетевого трафика данные Atlas, способствует повышению эффективности работы специалистов в области информационной безопасности, предоставляя в их распоряжение инструменты и сведения для борьбы с современными угрозами.

Как и все разработчики продуктов информационной безопасности, представители Arbor Networks отмечают качественное изменение и опасность угроз, с которыми весьма сложно бороться с использованием традиционных средств защиты сетевого периметра, так как целевые атаки (Advanced Persistent Threat, APT) разрабатываются с учетом технических и организационных особенностей конкретных объектов нападения.

Платформа Arbor Spectrum коррелирует результаты анализа сетевого трафика с информацией глобальной системы безопасности Atlas    
Источник: Arbor Networks

В Arbor приводят следующие данные: при проведении APT-атак используется более семи различных инструментов проникновения в информационную инфраструктуру, а из-за малого уровня применения традиционного вредоносного кода снижается их раскрываемость; среднее время пребывания злоумышленников в информационных системах организаций-жертв превышает 200 дней до их обнаружения; расследование каждого инцидента в большинстве случаев требует более трех дней.

Новая платформа, полагают в компании, способна заметно повысить уровень информационной защиты различных компаний в условиях растущей изощренности кибермошенников и увеличения числа целевых атак.

Как пояснил Росомахо, результаты анализа трафика в сетевых инфраструктурах организаций, использующих Spectrum, автоматически коррелируются с информацией, которую платформа получает в реальном времени из системы Atlas.

Компонентами платформы Spectrum являются центральная консоль управления, а также узлы сбора сведений о сетевых пакетах и потоках данных, используемые для обнаружения актуальных угроз и анализа произошедших ранее инцидентов.

Сбор данных о пакетах осуществляется в точках взаимодействия ИТ-инфраструктуры с каналами связи провайдеров коммуникационных услуг. Анализ трафика внутри сетевого периметра обеспечивается на базе данных протоколов учета сетевого трафика, подобных Cisco NetFlow и Juniper IPX.

«Spectrum не только позволяет отключать зараженные рабочие станции, но и дает возможность отследить их возможную вредоносную активность в течение нескольких месяцев после заражения», — подчеркнул Росомахо.

Центральная консоль, коллекторы пакетов и потоковых данных выполнены на базе серверов x86-архитектуры c установленным на них программным обеспечением Arbor Networks. Производительность коллекторов, как утверждают их разработчики, достигает 8 Гбит/с и 100 тыс. записей в секунду соответственно.

В Arbor утверждают, что созданная ими платформа на порядок опережает по производительности существующие решения SIEM, которые способны обрабатывать события информационной безопасности в реальном времени.