Комплексний DDoS-захист від Netscout та можливості монетизації для провайдерів

Компанія NWU, офіційний дистриб'ютор Netscout, провела вебінар, присвячений рішенням забезпечення мережевої видимості й кіберзахисту інфраструктури сервіс-провайдерів та корпоративних замовників, а також системі ліцензування та можливостям повернення інвестицій.

Вебінар на тему «Захист і прибуток: Anti-DDoS Netscout для провайдерів» провів Максим Аношко, технічний директор компанії NWU. Розпочав презентацію він з традиційного короткого представлення розробника та його українського партнера.

Комплексний DDoS-захист від Netscout та можливості монетизації для провайдерів

Американська компанія Netscout Systems, яка була заснована 40 років тому, спеціалізується на рішеннях для управління продуктивністю мереж та додатків, а також на захисті від DDoS-атак та інших загроз. У 2015 році Netscout придбала компанію Arbor Networks — світового лідера у сфері DDoS-захисту, рішення якої вже понад 20 років успішно використовуються провайдерами та корпоративними замовниками по всьому світу. Завдяки цьому придбанню Netscout суттєво посилила свої позиції та експертизу в галузі кібербезпеки.

На сьогодні розробник має вже понад 3 тис. замовників у більш як 120 країнах світу. Переважно Netscout фокусується на корпоративному сегменті та провайдерах. Зокрема її клієнтами є 90% сервіс-провайдерів рівня Tier 1, та 90% бізнесів зі списку Fortune 100.

Виручка Netscout за 2024 рік склала 829 млн дол. Штат – 2300 співробітників, третина з яких залучені в R&D. Тобто компанія чимало інвестує у розробку та вдосконалення власних рішень у сфері збору та агрегації пакетів, забезпечення якості послуг, виявлення та реагування на мережеві загрози, а також захисту від DDoS.

Співпраця NWU з Netscout має тривалу історію і ґрунтується на значному практичному досвіді. При цьому експертиза команди NWU у роботі з рішеннями Arbor Networks (нині частина Netscout) має більш ніж десятилітню історію та охоплює велику кількість успішних проєктів для замовників різних галузей і масштабів. Переважно це представники фінансового сектору, державні установи, сервіс-провайдери та інші організації, які висувають високі вимоги до якості та надійності рішень з кібербезпеки.

Переходячи до презентації рішень вендора Максим Аношко зазначив, що першочерговим завданням будь-якої системи захисту є видимість. Тому що спочатку атаку чи підозрілу активність треба виявити та ідентифікувати, щоб зрозуміти які контрзаходи необхідно вжити.

Комплекс Arbor Sightline компанії Netscout для захисту від DDoS та кібератак створений для великих підприємств з розподіленої мережею, державних установ та провайдерів зв’язку. Він призначений для розв’язання задач моніторингу трафіку, аналізу та протидії потенційним загрозам. Наявний інструментарій дозволяє адміністраторам та службі IT-безпеки швидко виявляти різноманітні види кібератак та своєчасно їх нейтралізовувати.

Sightline розвивається вже понад 20 років, має чималу клієнтську базу та добре зарекомендував себе на ринку. Кожен замовник використовує цей комплекс для розв’язання своїх нагальних потреб. Це може бути планування трафіку, моніторинг, захист від DDoS, проактивна складова – як окремо, так і в різних поєднаннях. Як вже згадувалося, більшість великих провайдерів використовують ті чи інші продукти Netscout, діляться з розробником анонімізованою інформацією про нові загрози й таким чином допомагають вдосконалювати ці рішення.

Комбіноване рішення Arbor Sightline складається з декількох компонентів. Перший забезпечує аналіз та керування трафіком. Другий – TMS (Threat Mitigation System) – займається його очищенням за потреби, протидією DDoS-атакам тощо. В нормі трафік через TMS не проходить.

При цьому для протидії атакам Sightline використовує різні елементи мережевої інфраструктури. Залежно від виду та масштабу загрози частина трафіку може блокуватися ще на периметрі мережі. А тонкіша обробка, наприклад із застосуванням сигнатурного аналізу, здійснюється вже в середині за допомогою системи додаткового очищування.

Крім того, в продуктовому портфелі Netscout також є рішення Arbor Edge Defense (AED). Це потужний In-line інструмент захисту від DDoS-атак. Він створений для SMB, державних підприємств, фінансових установ та не великих провайдерів зв’язку. Система розгортається на периметрі мережі замовника (між маршрутизатором і брандмауером) таким чином, що крізь неї проходить весь трафік. Вона виступає першою й останньою лінією захисту від загроз. Продукт може використовуватися як окремо, так і як частина комплексного рішення.

Основне завдання пристроїв AED – захист периметрової безпеки. Брандмауери, IPS, IDS-системи, VPN-шлюзи, концентратори – все, що може бути ціллю атак (DDoS, брутфорс, розвідка тощо) – розташовується за AED, який має убезпечити ці компоненти від зловмисного впливу. Також AED здатен блокувати комунікації назовні скомпрометованих внутрішніх хостів до командних центрів якихось ботнетів чи вірусів. Відповідно AED може бути корисний скрізь, де є підключення до інтернету та якісь критично важливі сервіси, які потребують захисту – ядро мережі, ЦОД, хмари, філіали тощо.

Корисною для служби безпеки також може бути можливість портувати на комплекси AED не тільки AIF свої сигнатури від Netscout, а ще й пропрієтарні сигнатури третіх виробників у форматах STIX\TAXII.

Цікаво, що згідно зі статистикою Netscout, три чверті атак мають ширину смуги не більше 1 Gbps. Відповідно для більшості клієнтів вони не створюють критичного навантаження на канали зв’язку і не пригортають особливої уваги. Втім вони можуть бути точковими та доволі небезпечними для окремих частин стека безпеки, додатків, або вебсервісів. Своєю чергою AED, який постійно відстежує весь трафік, забезпечує найшвидшу реакцію та протидію атакам, що спрямовані на критичні для конкретного підприємства сервіси.

До того ж AED здатен дешифрувати та очищувати трафік, включно з TLS 1.3, а потім повертати його в мережу, та протидіяти таким чином SSL-атакам. Завдяки чому забезпечується повний контроль та видимість подій.

Ще одна цікава та корисна можливість – фірмовий комунікаційний протокол Edge Defense Cloud Signaling. В разі потужної волюметричної атаки, що перевантажує наявні канали зв’язку, він дозволяє подати сигнал на вищестояще обладнання провайдера, або хмарний сервіс Arbor Cloud, і вже їх силами блокувати паразитний трафік та розвантажити канал. Причому після відповідного налаштування все це працює в автоматичному режимі. Тому не існує системи, що може повністю убезпечити мережу від усіх загроз, а захист має бути багаторівневим та ешелонованим.

При цьому система ліцензування на AED доволі гнучка. Наприклад, сервіс провайдер може закупити пул ліцензій, а потім гнучко розподіляти цю ліцензійну ємність між наявними клієнтами, відповідно до поточних потреб. Швидко, легко та без переривання сервісу.

Комплексний DDoS-захист від Netscout та можливості монетизації для провайдерів

Постачальник послуг, що використовує продукти Netscout, має можливість запропонувати клієнтам кілька сервісних планів (умовно Bronze, Silver, Platinum) з різним наповненням щодо захисту і таким чином монетизувати свої капіталовкладення. Наприклад, базовий рівень передбачатиме тільки захист від об’ємних атак. Може бути захист по запиту, або автоматичне спрацювання при певних граничних значень. Можна гарантувати постійний захист певної смуги пропускання каналу зв’язку. Відповідно вищий рівень сервісу може включати повний захист від різних типів атак, можливо навіть з певним SLA. Це може бути просто підписка від провайдера на певний сервіс захисту, без внесення змін в мережу замовника, а може передбачати придбання клієнтом AED для свого технічного майданчика. Останній доступний як фізичний пристрій, або віртуалізований продукт. Варіантів багато.

Передбачений також портал, де можна створити для клієнта обліковий запис, щоб він мав змогу в інтерактивному інтерфейсі в режимі онлайн бачити стан каналу зв’язку – рівень трафіку, атаки, захисні дії, необхідну статистику та аналітику, звіти тощо. Насиченість інформацією також гнучко налаштовується під потреби конкретного замовника.

Спікер навів приклади реалізацій цього підходу, що практикують провідні європейські провайдери. Скажімо найбільший постачальник телекомунікаційних послуг у Швейцарії Swisscom пропонує бізнес-клієнтам два види сервісу. Базовий передбачає: захист від DDoS-атак до транспортного рівня (OSI layer 4); автоматичне блокування різних видів атак; доступ до порталу управління, включаючи моніторинг та звітність; технічну підтримку 24/7 тощо. Розширений: постійний аналіз трафіку та проактивний захист від різних видів атак, включно з DDoS до рівня додатків (OSI layer 7); виявлення та нейтралізацію атак від L3 до L7 на основі IP-пакетів, включаючи повільні та низькошвидкісні атаки; індивідуальну конфігурацію фільтрів з врахуванням особливостей ІТ-інфраструктури замовника і т.д.

Британський телекомоператор О2 пропонує замовникам три сервісні пакети на базі Sightline – Basic, Standard та Advanced. В разі перших двох все очищення трафіку відбувається на мережі провайдера. А от третій потребує наявності компоненти AED на мережі замовника. Втім йдеться про віртуалізований AED, який за потреби фахівці провайдера самі розгортають, налаштовують та адмініструють. Тобто в будь-якому випадку клієнт отримує сервіс під ключ.

British Telecom до стандартних трьох пакетів захисту Netscout додав кілька проміжних варіантів. Щоб його замовникам було легше обрати найбільш відповідний набір послуг. Своєю чергою Deutsche Telekom додатково пропонує Backbone Protection, коли абсолютно весь трафік проходить через TMS систему. Це дуже дорого, оскільки TMS ліцензується за обсягом трафіку. Але деякі замовники вочевидь готові платити за додаткову фільтрацію і захист.

Таким чином, телекомоператори можуть не лише ефективно захищати власну інфраструктуру, але й надавати клієнтам додаткові сервіси кіберзахисту, що відкриває нові можливості для монетизації інвестицій в обладнання Netscout.

Kingston повертається у «вищу лігу» серверних NVMe SSD