{{indPage.title}} /{{BreadCrumbs}}
2021/12/09
Gigamon 併用 NPB 與 SaaS NDR,讓OT資安威脅無所遁形
企業迎向數位轉型,必須倚靠扎實的資安防禦與高速的網路效能基底,因此如何實現實體虛擬網路的可視化,成為必要課題。
企業欲達到網路流量可視化,NPB(Network Packet Broker)無疑扮演重要角色,而 Gigamon 即是全球NPB市場的領導品牌,擅於收取實體、虛擬及雲端等全網流量,經過篩選、複製後,將必要資訊精準輸送給各項線上工具設備,例如防火牆、IPS、WAF,甚至是旁接的側錄設備,或資料庫稽核設備等。
假使缺少NPB的輔助,意謂個別工具設備必須自負流量收集任務,容易衍生一些問題,包括企業在每個廠區都部署大量工具設備,並且因應現今高達10Gbps、40Gbps 網路速率,配置相應吞吐效能的設備規格,不僅佈建數量多、規格高,也將大部份效能耗用於處理無關資訊,以及重複的加解密運算,對企業絕非划算投資。
林大鈞說,更大問題在於,礙於傳統架構限制,幾乎所有資安設備都在單一閘道口執行監控,也就是只看管南北向流量;殊不知許多伺服器、特別是VM,彼此間經常在內網交換資料,代表資安設備因鞭長莫及、欠缺了對東西向流量的解讀機會,故而無力及時防堵橫向感染擴散,連帶無法滿足零信任安全原則。
反觀企業一旦佈建 Gigamon NPB,即可統一收容所有廠區的流量,集中進行一次性加解密,爾後就依據不同應用流量做篩選,並對重覆流量進行De-dup去除重覆封包,再按個別分析設備的需求,分別導入需要被分析的流量,等於預先濾除不必要的流量,因而減少分析設備收取流量的負擔,從而帶來諸多好處。比如大幅降低分析設備的部署數量與規格,也減少對網路頻寬的佔用、避免影響各項應用效能;更重要的,NPB可協助將東西向流量、雲端服務流量導向防火牆、WAF、IPS和沙箱等資安設備進行處理,不僅簡化並擴大網路除錯收容架構,也更易於消弭潛藏的資安死角。
而 Gigamon 除提供NPB外,也於近年推出 ThreatInsight NDR 服務,對亟欲解決SOC架構限制、又苦惱於工廠OT設備無法安裝 EDR 的製造業,堪稱是強化資安情資分析能力的理想解方。
ThreatInsight NDR Sensor 為機架型卡板,經過簡單插入及遠端設定後,即可快速接收NPB所萃取的流量Metadata,並依據正常流量做成樣板,有效區隔異常的南北或東西向流量。
一旦偵測到可疑流量,接著可借助 Gigamon 引導式服務,由 TSMs(Technical Success Managers) 與 ATR(Applied Threat Research)等資安團隊協助進行研究,萬一無法透過單一事件看出端倪,就由 Guided-SaaS MSP 服務協助快速關聯所有全球客戶情資,並將調查結果呈現於Hunting Dashboard情資安全事件調查狙擊儀表板。換言之,藉由Gigamon NPB 搭配 ThreatInsight,企業就能全面掌握情資,加速回應任何可疑事件。