Рис.10.13

Эта оценка безопасности сети очень важна для гибридных сценариев, где вам необходимо интегрировать локальную сеть с облачной инфраструктурой.

Справочные материалы

1.Network Performance Monitor. https://www.solarwinds.com/network-perfor- mance-monitor.

2.User-to-Data-Center Access Control Using TrustSec Deployment Guide. https:// www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Apr2016/User-to-DC_Ac- cess_Control_Using_TrustSec_Deployment_April2016.pdf.

3.Security guide for Hyper-V in Windows Server 2012. https://docs.microsoft.com/ en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/ dn741280(v=ws.11).

4.Отчет Building Trust in a Cloudy Sky компании McAfee. https://www.mcafee. com/enterprise/en-us/assets/executive-summaries/es-building-trust-cloudy-sky. pdf.

5.Practical Guide to Hybrid Cloud Computing. http://www.cloud-council.org/deli­

verables/CSCC-Practical-Guide-to-Hybrid-Cloud-Computing.pdf.

В этой главе вы узнали о текущих потребностях использования глубоко эше- лонированной защиты и о том, как использовать этот старый метод, чтобы защитить себя от текущих угроз. Вы познакомились с различными уровнями защиты и тем, как повысить безопасность каждого уровня. Следующей темой была сегментация физической сети.Здесьвы узнали о ее важности и отом,как правильно спланировать ее реализацию. Мы выяснили, что сегментация сети предназначена не только для локальных ресурсов, но и для удаленных поль- зователей и офисов, а также узнали, что Синей команде может быть непросто спланировать и спроектировать это решение без точного знания текущей то- пологии сети. Для решения этой проблемы вы познакомились с инструмен- тальными средствами, которые можно использовать во время этого процесса обнаружения.Наконец,вы узнали о важности сегментации виртуальных сетей

имониторинга возможности подключения гибридных облаков.

Вследующей главе мы продолжим разговор о стратегиях защиты. На этот раз вы подробнее познакомитесь с сенсорами, которые должны быть внедре- ны для активного мониторинга ваших ресурсов и быстрого выявления потен­

циальных угроз.

Теперь, когда ваша сеть сегментирована, вам необходимо активно отслежи- ватьподозрительныедействия и угрозы и предприниматьдействия на основе этого. Ваша стратегия безопасности не будет полной, если у вас нет хорошей системы обнаружения, что означает наличие нужных сенсоров, которые рас- пределены по сети и отслеживаютдействия.Синяя команда должна использо- вать преимущества современных технологий обнаружения, которые создают профиль пользователя и компьютера, чтобы лучше понимать аномалии и от- клонения от обычных действий и предпринимать профилактические меры.

В этой главе мы рассмотрим следующие темы:возможности обнаружения;системы обнаружения вторжений;

системы предотвращения вторжений;поведенческая аналитика внутри организации;

поведенческая аналитика в гибридном облаке.

Возможности обнаружения

Нынешний ландшафт угроз требует нового подхода к системам обнаружения, опирающегося натрадиционную сложностьтонкой настройки начальных пра- вил, пороговых значений, базовых показателей. Борьба со множеством лож- ных срабатываний становится неприемлемой для многих организаций. При подготовке к защите от злоумышленников Синяя команда должна использо- вать ряд методов, которые включают в себя:

корреляцию данных из нескольких источников;профилирование;поведенческую аналитику;

обнаружение аномалий;оценку активности;машинное обучение.

Важно подчеркнуть, что некоторые традиционные средства управления безопасностью­ , такие как анализ протоколов и антивирусное ПО на основе

Рис.11.1