Het belang van netwerk recorders.

Het bewaren en analyseren van netwerklogging wordt door veel organisaties gedaan en is zeker niet nieuw. Het bewaren van deze loggings heeft meestal als doel om achteraf een calamiteit dan wel ander technisch voorval te kunnen analyseren. We moeten ons echter afvragen hoe goed we in staat zijn dit te doen met slechts de logs. Ondanks dat organisaties tegenwoordig beschikken over een veelvoud van beveiligings- en netwerktools, hebben veel organisaties nog steeds moeite met effectief probleemonderzoek en -herstel. Het zijn vaak trage en erger nog, niet doorslaggevende processen.

Het gebruik van loggings als bewijs bij een analyse is eigenlijk niet logisch. In vergelijking met de menselijke wereld is een oplossing die een log schrijft, slechts de persoon die zegt dat iets is voorgevallen. Het feit dat daadwerkelijk is voorgevallen is niet vastgelegd, slechts de log. In de menselijke wereld worden veelal camerabeelden gemaakt en gebruikt om hetgeen dat daadwerkelijk is voorgevallen opnieuw te kunnen afspelen. Hierdoor is alle twijfel weggenomen. De logs worden dan dus gebruikt om te alarmeren, de opnames als het 100% sluitende bewijs. Een netwerkrecorder is dus in de IT omgeving dit camerasysteem. Deze recorder voorziet dus in het echte bewijs dat nodig is om analyses te kunnen doen.

Het vastgelegde bewijs kan gebruikt worden bij:

  • Implementaties waarbij technische uitdagingen ontstaan;
  • Technische IT storingen;
  • Security incidenten;
  • Software ontwikkeling;
  • Tuning van netwerkomgeving;
    • Performance tuning;
    • Security tuning;
  • Accountability; voldoen aan wet en regelgeving

Network history gives security analysts the definitive evidence they need to analyze security threats and data breaches quickly

Snelle en effectieve reacties op security en performanceproblemen betekenen dat u gegarandeerd in staat bent om snel te zien wat er op het netwerk gebeurt en direct de oorzaak kunt identificeren. Deze mogelijkheid wordt geboden door het implementeren van Endace Probes. Onderstaand een toelichting op een aantal van bovengenoemde punten.

Security incidenten

Organisaties worden dagelijks geconfronteerd met een toenemende aantal beveiligingsincidenten.  Zonder een opname van hetgeen dat zich daadwerkelijk op het netwerk heeft afgespeeld worden analisten gedwongen om dergelijke incidenten te reconstrueren door meerdere gegevensbronnen, zoals logbestanden en metadata, te correleren. Dit proces is traag en niet doorslaggevend.

Door het werkelijk gebeurde voorval nog eens af te spelen van uit een opname kunnen analisten tot in detail de inzichten verkrijgen van hetgeen wat is gebeurd. Met deze informatie kunnen organisaties de maatregelen nemen die daadwerkelijk de oorzaak van probleem oplossen.

Technische IT storingen

De Endace Probes bieden een 100% nauwkeurige en volledig opname van alle netwerkpakketten. Naast het feit dat de Endace Probes over eigen analyse tools beschikken, is het ook mogelijk om de Endace Probes te koppelen met bestaande analyse tools zoals bijvoorbeeld Splunk, Palo Alto, Cisco Firepower etc. Dergelijke tools kunnen als een hypervisor op de Endace Probe worden geïnstalleerd, om zo deze functionaliteit te gebruiken op de netwerkrecorder. Endace staat bekend om haar zeer snelle en uitgebreide probes waardoor zelfs op 100 Mb/s kan worden opgenomen.

Analisten kunnen hierdoor bij issues snel de pakketten die bij het issue zijn betrokken vinden in al het opgenomen netwerkverkeer, de analyse doen en het probleem oplossen. De Mean Time to Resolution (MTTR) wordt hiermee van uren of dagen verlaagd naar minuten.

Accountability

Door bestaande en toekomstige wet- en regelgeving wordt “Accountability” voor veel organisaties steeds belangrijker. Het kunnen “aantonen” betekent in veel gevallen het verschil tussen torenhoge boetes of een tweede kans. Door te kunnen aantonen wat er gebeurt of heeft plaatsgevonden staan organisaties veel sterker in de bewijsvoering.

Een bekend voorbeeld is de (hoog frequente) aandelenhandel. High-Frequency Trading is goed voor maar liefst 75% van de aandelenhandel in de VS. Nauwkeurige en tijdige gegevens vormen altijd de basis van het wereldwijde handelssysteem. Netwerk recorders bieden de mogelijkheid om uiterst nauwkeurig de netwerken van high-frequency traders te bewaken, te meten en te analyseren.

Dankzij de producten van Endace kunnen High frequency traders hun handelsgegevens vastleggen om aan wettelijke verplichtingen te voldoen, problemen van korte duur (microburst) -prestaties op te lossen en handelsgegevens opnieuw af te spelen voor het analyseren van handelsalgoritmen.

Bent u nieuwsgierig geworden naar de toegevoegde waarden voor uw organisatie? Neemt u dan even contact op met onze analisten.

IO4U BV

085 – 90 20 470