Ingress נגד Egress - מה ההבדל

Ingress vs egress: נראה שיש ויכוח בלתי נגמר לגבי מונחים אלה. הם סוג של ארכאי ומשמעותם שונה במצבים שונים.

היום אנו נעשה כמיטב יכולתנו לנסות לשפוך קצת אור על התעלומה הזו. עם זאת, אנו לא רוצים להיכנס לדיון פילוסופי. המטרה היחידה שלנו היא לעשות כמיטב יכולתנו להסביר מונחים אלו וכיצד הם משמשים בדרך כלל בהקשר של רשת. אבל אפילו זה, כפי שאתה עומד לראות, יכול להיות די מבלבל.

נתחיל בהתחלה ונעשה כמיטב יכולתנו להגדיר את שני המונחים הללו, תחילה בלשונית ואז בהקשר הספציפי של רשתות מחשבים. לאחר מכן נסביר כיצד המשמעות שלהם יכולה להשתנות על סמך נקודת המבט של האדם בהתבסס על ההיקף שאנו שוקלים. אותה תנועת מצרים במצב אחד יכולה להפוך לתנועת חודר במצב אחר. בשלב הבא נדבר על פיקוח על תנועה על כניסה ותחושת מצוקה ונציג כמה מהכלים הטובים ביותר שבהם תוכלו להשתמש למטרה זו. אבל חכה! יש עוד. אנו נדון גם ביציאה בהקשר הספציפי של אבטחת מידע ונציג כמה מהשיטות המומלצות להגנה על עצמך מפני מצוקת נתונים. ובשמירה על הרגלים טובים שלנו, אנו נסקור כמה מהכלים הטובים ביותר של SIEM בהם תוכלו להשתמש בכדי לאתר גילוי נתונים לא רצויים.

הגדרת Ingress ו- Egress

מבחינה לשונית, הגדרת אחת ממילים אלה בקושי יכולה הייתה להיות קלה יותר (משחק מילים מיועד). בוא נראה מה יש למילון Merriam-Webster לומר עליו. זה באופן פשוט וברור (כמעט משעמם) מגדיר את החדירה כ- "מעשה הכניסה ". פשוט מספיק, לא? והמצוקה אינה מסובכת הרבה יותר מכיוון שאותו מקור מגדיר אותה כ"הפעולה של לצאת או לצאת ". הנה שוב, הגדרה די פשוטה. אם אכפת לך לבדוק מקורות אחרים, תמצא הסכמה מוגדרת. Ingress נכנסת בזמן שהמצוקה יוצאת החוצה.

בהקשר של תנועת רשת

אבל הפוסט בבלוג הזה לא עוסק בבלשנות, אלא על ניהול רשת. וזה היה חודר והמצוקה יכולה להיות קצת יותר מבלבלת. למרות זאת, זה עדיין קשור לנתונים שנכנסים ויוצאים מרשת, מכשיר או ממשק. עד כה, שום דבר מסובך. אולם במקום שהדבר נעשה קשה, אנשים לא מסכימים על מה יש ומה יוצא. אתה מבין, לפעמים התיקונים של אחד הם מוצא אחר.

הכל תלוי בנקודת המבט שלך

כניסה או מצוקה, כאשר מתייחסים לתעבורת רשת, קשורים לאופן שבו אתה רואה דברים, זה תלוי בנקודת המבט שלך. ברוב המצבים האחרים, בתוך הוא והחוצה הוא החוצה; אין בזה שום דבר מבלבל. עם זאת, זה לא כל כך המקרה ברשתות. ננסה להבהיר כי באמצעות כמה דוגמאות קונקרטיות.

הדוגמה הראשונה שלנו היא של שער אינטרנט. זה יכול להיות נתב, שרת פרוקסי או חומת אש, זה לא משנה. זהו המכשיר שיושב בין הרשת המקומית שלך לאינטרנט. במקרה זה, אני חושב שכולם יסכימו שהאינטרנט נחשב כחיצוני והרשת המקומית, מבפנים. אז תנועה שמגיעה מהאינטרנט לרשת המקומית תהיה תנועה נכנסת ותנועה מהרשת המקומית לאינטרנט תהיה תנועה מצוקה. עד כה, זה עדיין פשוט.

אבל אם אתה מסתכל על דברים מנקודת מבט של ממשק רשת, הדברים משתנים. בדוגמה הקודמת, אם אתה מסתכל על תנועה בממשק LAN, תנועה שנועדה לאינטרנט מכניסה כעת תנועה כשהיא נכנסת לשער. באופן דומה, תנועה העוברת לרשת המקומית אינה מהווה תנועה מכיוון שהיא יוצאת מהשער.

לסיכום, הבחנה בין תנועה בין כניסה לתחושת מצוקה דורשת שכולנו נסכים על מה אנחנו מדברים. כפי שראינו, תנועה נכנסת בהקשר אחד יכולה להיות תנועה של מצרים בהקשר אחר. ההצעה הטובה ביותר שלנו היא להימנע משימוש במונחים אלה לחלוטין או לציין בבירור את הקשר השימוש בהם בכל פעם שאתה משתמש בהם. ככה, תימנע מכל בלבול.

מעקב אחר תנועה של מצרים ונגישות

כעת, כשאנו מכירים את המינוח, בואו ונבדוק את הניטור של התנועה והדחיקה. בדרך כלל הדבר נעשה באמצעות תוכנה מיוחדת הנקראת כלי ניטור רשת או כלי ניטור רוחב פס. כלים אלה משתמשים בפרוטוקול Simple Network Management (SNMP) לקריאת מוני ממשק מציוד מחובר לרשת. מונים אלה פשוט מסכמים את מספר הבתים שנמצא בתוך כל ממשק רשת ומחוצה לו. שים לב שכלי ניטור כמעט ולא משתמשים בכניסה וביציאה ומכוונים בדרך כלל לתעבורה בממשק ומחוצה לו. זה תלוי בך, אם אתה מעוניין בכך, לקבוע איזו כניסה ואיזו תנועת מצרים, שוב תלוי בהקשר הספציפי.

כמה כלים שהמלצנו עליהם

ישנם כלים רבים לרוחב פס או לניטור רשת. כנראה יותר מדי ולבחור את הטוב ביותר - או אפילו סתם טוב - יכול להיות אתגר. ניסינו רבים מהכלים הזמינים והגשנו רשימה זו של כמה מכלי ניטור רוחב הפס הטובים ביותר שתוכלו למצוא.

SolarWinds הוא אחד היוצרים הטובים ביותר של כלי ניהול רשת. מוצר הדגל של החברה נקרא מוניטור ביצועי רשת של SolarWinds, או NPM. זהו פיתרון ניטור רשת מלא מאוד הכולל ממשק משתמש גרפי ידידותי למשתמש בו יכולים מנהלי מערכת להשתמש כדי לפקח על התקנים ולהגדיר את הכלי.

המערכת משתמשת ב- SNMP כדי לבצע שאילתות במכשירים ולהציג את השימוש בממשקים שלהם, כמו גם מדדים שימושיים אחרים בלוח מחוונים גרפי. בנוסף ללוח מחוונים זה, ניתן להפיק דוחות מובנים שונים לפי דרישה או על בסיס ביצוע מתוזמן. ואם הדוחות המובנים לא נותנים לך את המידע הדרוש לך, ניתן להתאים אותם לפי רצונם. החבילה כוללת גם כמה כלים שימושיים כמו יכולת להציג עיבוד חזותי של התיקון הקריטי בין כל שתי נקודות ברשת. כלי זה ניתן להרחבה ביותר והוא יתאים לכל רשת מהרשתות הקטנות ביותר לגדולות עם אלפי מכשירים הפרושים על פני מספר אתרים.

• ניסיון חינם: מוניטור ביצועי רשת של SolarWinds
• קישור הורדה רשמי: https://www.solarwinds.com/network-performance-monitor/registration

ה מוניטור ביצועי רשת של SolarWindsמערכת ההתראה היא מקום אחר בו המוצר מאיר. על פי הדיווחים, ניתן להתאמה אישית במידת הצורך, אך ניתן להשתמש בו גם מחוץ לתיבה עם תצורה מינימלית. מנוע ההתראה חכם מספיק כדי לא לשלוח התראות על אירועים "לא חשובים" באמצע הלילה או אל שלח מאות התראות עבור כמה שיותר מכשירים לא מגיבים כאשר הבעיה העיקרית היא נתב למטה או מתג רשת במעלה הזרם.

תמחור עבור מוניטור ביצועי רשת של SolarWinds מתחיל ממש מתחת ל -3,000 דולר ועולה לפי מספר המכשירים לפיקוח. מבנה התמחור הוא למעשה מורכב למדי ועליכם ליצור קשר עם צוות המכירות של SolarWinds לקבלת הצעת מחיר מפורטת. אם אתה מעדיף לנסות את המוצר לפני שאתה רוכש אותו, גרסת ניסיון בחינם למשך 30 יום זמינה להורדה מאתר SolarWinds.

2. ManageEngine OpManager

ManageEngine הוא מפרסם ידוע נוסף של כלי ניהול רשת. ה ManageEngine OpManager הוא פיתרון ניהול מלא שיטפל כמעט בכל משימת ניטור שתוכלו להשליך עליה. הכלי פועל במערכת חלונות או לינוקס ונטען בתכונות מעולות. בין היתר, קיימת תכונה של גילוי אוטומטי שיכולה למפות את הרשת שלך ולהעניק לך לוח מחוונים המותאם אישית באופן ייחודי.

ה ManageEngine OpManagerלוח המחוונים של 'סופר קל לשימוש וניווט' הודות לפונקציונליות שלו. ואם אתה נכנס לאפליקציות לנייד, ישנם אפליקציות לטאבלטים וסמארטפונים המאפשרים לך לגשת לכלי מכל מקום. זהו מוצר מלוטש ומקצועי מאוד.

ההתראה טובה באותה מידה OpManager כמו כל שאר המרכיבים שלה. ישנו השלמה מלאה של התראות מבוססות סף אשר יסייעו לאתר, לזהות ולפתור בעיות רשת. ניתן להגדיר ספים מרובים עם התראות שונות לכל מדדי ביצועי הרשת.

אם ברצונך לנסות את המוצר לפני הקנייה, קיימת גרסה חינמית. למרות שמדובר בגרסה חינמית באמת ולא בניסוי לתקופת זמן, יש לה מגבלות מסוימות כמו לאפשר לך לפקח על לא יותר מעשרה מכשירים. זה לא מספיק לכולם פרט לקטנים מבין הרשתות. עבור רשתות גדולות יותר, אתה יכול לבחור בין חיוני או ה ארגוני תוכניות. הראשון יאפשר לך לפקח על עד 1,000 צמתים ואילו השני יעלה ל 10,000. ניתן לקבל מידע על מחירים על ידי יצירת קשר ManageEngineהמכירות.

3. צג רשת PRTG

ה צג רשת PRTG, שפשוט נתייחס אליהם PRTG, היא מערכת פיקוח נהדרת נוספת. מפרסםו טוען כי כלי זה יכול לפקח על כל המערכות, המכשירים, התעבורה והיישומים של תשתית ה- IT שלך. זוהי חבילה הכוללת כלול שאינה מסתמכת על מודולים חיצוניים או תוספות שצריך להוריד ולהתקין. בגלל אופיו המשולב, הוא מהיר יותר וקל להתקנה מרוב כלי הניטור האחרים ברשת. אתה יכול לבחור בין כמה ממשקי משתמש שונים כמו מסוף ארגוני של Windows, ממשק אינטרנט מבוסס Ajax ואפליקציות סלולריות לאנדרואיד ו- iOS.

ה צג רשת PRTG שונה מרוב כלי הניטור האחרים בכך שהוא מבוסס חיישן. ניתן להוסיף לכלי תכונות ניטור שונות על ידי הגדרת חיישנים נוספים. הם כמו תוספים פרט לכך שהם אינם מודולים חיצוניים אלא כלולים במוצר. PRTG כולל מעל 200 חיישנים כאלה המכסים צרכי ניטור שונים. עבור מדדי ביצועי רשת, חיישן QoS וחיישן PING מתקדם מאפשרים לך לעקוב אחר החביון והריצוד בעוד שחיישן SNMP הסטנדרטי יאפשר לך לפקח על התפוקה.

ה PRTG מבנה התמחור הוא די פשוט. יש גרסה חינמית הכוללת תכונות מלאות אך תגביל את יכולת הניטור שלך ל 100 חיישנים. יש גם גרסת ניסיון של 30 יום שהיא בלתי מוגבלת אך תחזור לגירסה החינמית לאחר שתקופת הניסיון תסתיים. אם אתה רוצה להמשיך ולעקוב אחר יותר ממאה חיישנים מעבר לתקופת הניסיון, יהיה עליך לרכוש רישיון. מחירם משתנה בהתאם למספר החיישנים החל מ -1 600 דולר עבור 500 חיישנים ל- 14 500 דולר לחיישנים ללא הגבלה. כל פרמטר מנוטר נחשב לחיישן אחד. לדוגמה, ניטור רוחב הפס בכל יציאה במתג 48 יציאות יחשב כ- 48 חיישנים.

מצרים בהקשר של ביטחון

יש שימוש נוסף למונח egress בקרב מנהלי רשת ומערכת שהוא ספציפי להקשר של אבטחת מידע. זה מתייחס לנתונים שעוזבים את הרשת המקומית של הארגון. הודעות דוא"ל יוצאות, העלאות ענן או קבצים המועברים לאחסון חיצוני הן דוגמאות פשוטות ליציאת נתונים. זהו חלק רגיל מפעילות הרשת, אך הוא עלול להוות איום על ארגונים כאשר נתונים רגישים מדלפים לנמענים לא מורשים, בין אם הם מבינים ביודעין או שלא בזדון.

איומים הכרוכים במצבי נתונים

מידע רגיש, קנייני או קל לייצר רווחים ממוקד לרוב על ידי פושעי רשת מכל הסוגים. פרסום מידע רגיש או קנייני לציבור או לארגונים מתחרים מהווה דאגה אמיתית עבור ארגונים, ממשלות וארגונים מכל הסוגים. שחקני איום עשויים לנסות לגנוב נתונים רגישים באותה שיטות שעובדים משתמשים בהם מדי יום, כמו העלאת דוא"ל, USB או ענן.

שיטות עבודה מומלצות למניעת מצוקת נתונים לא רצויות

אתה יכול לעשות הרבה כדי להגן על הארגון שלך מפני שחרור נתונים לא מורשה, אך כמה מהם חשובים במיוחד. בואו נסתכל על שניים ממצרכים בסיסיים שעליכם לעשות.

צור מדיניות שימוש מקובלת ומציקה של נתונים על ביטול תנועה

כלול בעלי עניין להגדרת מדיניות השימוש המקובלת שלך. המדיניות צריכה להיות מאוד יסודית ולהגן על משאבי החברה. זה יכול, למשל, לכלול רשימה של שירותים מאושרים נגישים באינטרנט והנחיות לגישה וטיפול בנתונים רגישים. ואל תשכחו שזה דבר אחד ליצור מדיניות כזו, אך עליכם גם לתקשר אותם למשתמשים ולוודא שהם מבינים אותם.

הטמיע כללי חומת אש לחסימת ההתפרצות ליעדים זדוניים או בלתי מורשים

חומת אש ברשת היא רק אחת מכמה קווי הגנה מפני איומים. זוהי נקודת פתיחה טובה בה אתה יכול להבטיח שהמצאת נתונים לא תתרחש ללא אישור מפורש.

SIEM - כדי למנוע היצרות של נתונים

לא משנה מה תעשה, ניטור נותר אחת הדרכים הטובות ביותר להתגונן מפני מצוקת נתונים. בכל פעם שקורה דליפת נתונים, אתה רוצה לדעת על כך מייד כדי שתוכל לפעול על פיה. זה המקום בו כלי אבטחה וניהול אירועים (SIEM) יכולים לעזור.

באופן קונקרטי, מערכת SIEM אינה מספקת שום הגנה קשה. מטרתו העיקרית היא להקל על חייהם של מנהלי רשת ואבטחה כמוך. מה שמערכת SIEM אופיינית באמת היא לאסוף מידע מהגנה וגילוי שונים מערכות, לתאם את כל המידע הזה שמרכיב אירועים קשורים ולהגיב לאירועים משמעותיים ב- דרכים שונות. לרוב, כלים של SIEM כוללים גם צורה כלשהי של דיווחים ו / או לוחות מחוונים.

כמה מכלי SIEM המובילים

כדי לתת לך מושג מה זמין ולעזור לך לבחור את הכלי SIEM המתאים לצרכים שלך, ריכזנו רשימה זו של כמה מכלי SIEM הטובים ביותר.

אותו הדבר SolarWinds שהביא לנו את צג רשת בסקירה לעיל יש גם הצעה למידע אבטחה וניהול אירועים. למעשה, זהו אחד הכלים הטובים ביותר SIEM הקיימים. זה אולי לא מלא כמו כל כלים אחרים, אבל מה שהוא עושה, הוא עושה טוב מאוד ויש לו את כל הפונקציונליות הנדרשת. הכלי נקרא מנהל אירועי אבטחה של SolarWinds (SEM). זה מתואר בצורה הטובה ביותר כמערכת SIEM ברמת כניסה אך ככל הנראה אחת המערכות התחרותיות ביותר ברמת הכניסה בשוק. ה SolarWinds SEM כולל כל מה שתוכלו לצפות ממערכת SIEM, כולל תכונות ניהול יומנים מצוינות ומתאמות שיכולות לעזור באיתור מצרי נתונים לא מורשים ומנוע דיווח מרשים.

ניסיון חינם:מנהל אירועי אבטחה של SolarWinds

קישור הורדה רשמי:https://www.solarwinds.com/security-event-manager/registration

באשר לתכונות התגובה של הכלי, כצפוי מ- SolarWinds, הם לא משאירים דבר רצוי. מערכת התגובה המפורטת בזמן אמת תגיב באופן פעיל לכל איום. ומכיוון שהיא מבוססת על התנהגות ולא על חתימה, אתה מוגן מפני איומים לא ידועים או עתידיים. לוח המחוונים של הכלי הוא אולי אחד הנכסים הטובים ביותר שלו. עם עיצוב פשוט, לא תהיה לך בעיה במהירות לזהות חריגות. החל בסביבות 4 500 דולר, הכלי הוא יותר משתלם. ואם ברצונך לנסות זאת תחילה, ניתן להוריד גרסת ניסיון בחינם למשך 30 יום תפקודית לחלוטין.

קישור הורדה רשמי:https://www.solarwinds.com/security-event-manager/registration

2. Splunk Enterprise Security

אולי אחת ממערכות ה- SIEM הפופולריות ביותר, Splunk Enterprise Security-או בפשטות Splunk ESכפי שהיא מכונה לעתים קרובות - מפורסמת ביכולות הניתוח שלה. Splunk ES עוקב אחר נתוני המערכת בזמן אמת ומחפש פגיעויות וסימנים של פעילות לא תקינה. המערכת משתמשת מתיזמשלו מסגרת תגובה אדפטיבית (ARF) שמשתלב עם ציוד של יותר מ- 55 ספקי אבטחה. ה ARF מבצעת תגובה אוטומטית, ומאפשרת לך להשיג במהירות את העליונה. הוסף לזה ממשק משתמש פשוט ולא מסודר ויש לך פיתרון מנצח. תכונות מעניינות אחרות כוללות את הפונקציה "Notables" המציגה התראות הניתנות להתאמה אישית על ידי המשתמש ואת "חוקר הנכסים" לצורך סימון פעילויות זדוניות ומניעת בעיות נוספות.

Splunk ES הוא מוצר בדרגה ארגונית וככזה, הוא מגיע עם תג מחיר בגודל ארגוני. אתה לא יכול, למרבה הצער, לקבל מידע על מחירים רבים מתיזאתר האינטרנט ותצטרך ליצור קשר עם מחלקת המכירות כדי לקבל הצעת מחיר. למרות מחירו, מדובר במוצר נהדר וייתכן שתרצו ליצור קשר מתיז לנצל ניסיון חינם זמין.

3. NetWitness

בשנים האחרונות, NetWitness התמקד במוצרים התומכים ב- "מודעות מעמדית ברשת בזמן אמת ותגובת רשת זריזת”. לאחר שנרכש על ידי EMC אשר אז התמזגה עם דל, ה Netwitness העסק הוא כעת חלק מ RSA סניף התאגיד. ואלה חדשות טובות כמו RSA יש מוניטין מצוין בביטחון.

NetWitness הוא אידיאלי לארגונים המחפשים פיתרון ניתוח רשת מלא. הכלי משלב מידע על העסק שלך שעוזר לתעדף התראות. לפי RSA, המערכת "אוספת נתונים על פני יותר נקודות לכידה, פלטפורמות מחשוב ומקורות מודיעין איום מאשר פתרונות אחרים של SIEM”. יש גם איתור איומים מתקדם המשלב ניתוח התנהגות, טכניקות מדעי נתונים ואינטליגנציית איומים. ולבסוף, מערכת התגובה המתקדמת מתהדרת ביכולות תזמור ואוטומציה כדי לסייע במיגור האיומים לפני שהן משפיעות על העסק שלך.

אחד החסרונות העיקריים של NetWitness הוא שזה לא הקל ביותר להתקנה ולהשתמש בה. עם זאת, קיים מספיק תיעוד שיכול לעזור לך בהגדרת המוצר ושימוש בו. זהו מוצר אחר בדרגה ארגונית, וכפי שקורה לעתים קרובות למוצרים כאלה, עליך ליצור קשר עם מכירות כדי לקבל מידע על מחירים.