Blogpost

Cybersécurité, la bande passante ne signifie pas ce que vous pensez !

Der Artikel kritisiert die übermäßige Bedeutung, die der Bande im Bereich der Cybersicherheit beigemessen wird, und stellt Maßnahmen wie das PPS und das CPS zur Bewertung der Wirksamkeit von Lösungen vor.

Florian Thebault
1. März 2024
Teilen Sie
LinkedIn LogoX-Logo

TLDR : Wenn es darum geht, eine Infrastruktur zu überwachen, kommt ein Moment in der Vermarktung von Lösungen, in dem die Behauptungen auf den Punkt gebracht werden müssen, wenn man einen Chat als Chat bezeichnen muss. Die Verarbeitungskapazität ist eine der Kennzahlen, die unsere Kunden nutzen und die uns bei NANOCorp die Augen öffnen lassen. 10/50/100 Gbits/Sekunde bedeuten nichts, wenn Sie sich nicht hinter dem Marketing-Bullsh*@ verstecken! Die einzige Frage, die Sie sich stellen sollten, ist, wie viele Pakete/Sessions pro Sekunde die Lösung tatsächlich bewältigen kann!

Aber was ist das für eine Bande von Passanten, die einfach nur da ist?

Im Grunde genommen ist die Bandbreite des Netzes die maximale Geschwindigkeit, mit der die Daten durch Ihr Netz fließen, gemessen in Bits pro Sekunde (bps). Das scheint einfach zu sein, oder? Mais attendez... la saga ne s'arrête pas là, ou même ne commence pas là. Um das Internet wirklich verstehen zu können, sollten wir seine Rolle und seine Grenzen kennenlernen, vor allem, wenn wir über die alltägliche Nutzung des Internets und, wie Sie wissen, über die Cybersicherheit sprechen 😉 .

Die wahren Methoden zur Dimensionierung Ihrer Lösungen

Wir sprechen von Zahlen und von dem, was man wirklich sehen muss. Chez NANO Corp., voici les métriques que nous prenons en compte lorsque nous dimensionnons unesolution pour nos clients:

  • Paquets Par Seconde (PPS): In Umgebungen mit einem hohen Aufkommen an kleinen Datenpaketen, wie DNS- oder IoT-Verkehr, ist PPS eine relevantere Messung der Netzlast als die des Durchsatzes. Ein Sicherheitsgerät kann 10 Gbit/s unterstützen (d. h. aus Sicht des Marketings unterstützen), aber bei einem hohen PPS-Wert kann es zu einem Verlust von Verbindungen und potenziellen Sicherheitslücken kommen. Sie müssen nicht mehr nach Lösungen suchen, die auf Suricata basieren (schauen Sie sich die französische Konkurrenz hier an, sehen Sie sich Ihren PPS an, und ich zeige Ihnen die Größe 😆, so wie es am Ende des Artikels steht), oder nach solchen wie Extrahop (die nicht mehr als 1 Million Paquets pro Sekunde für 10-Gbit/s-Leitungen haben).
  • Connexions Par Seconde (CPS): Kritisch für Anwendungen, die häufige neue Verbindungen erfordern, wie sie in dynamischen Umgebungen mit häufigen Sitzungen vorkommen, z. B. Websites von Bankleitzentralen, die während der Verkaufsveranstaltungen online sind, wird die Kapazität von CPS kritisch. Eine Sicherheitslösung könnte einen angemessenen Bandbreitendeputat ankündigen, würde aber scheitern, wenn sie nicht in der Lage wäre, dem hohen Aufkommen an neuen Verbindungen zu folgen. Ein Problem, das bei fast allen Netzsicherheitslösungen auftritt.
  • Konkurrierende Verbindungen: Diese Kennzahl gibt die Anzahl der aktiven Verbindungen an, die ein Sicherheitsgerät gleichzeitig herstellen kann. Die Sicherheitseinrichtungen müssen die aktuellen Verbindungen aufrechterhalten und gleichzeitig neue Verbindungen aufnehmen, was ein Gleichgewicht zwischen der CPS-Kapazität und der Fähigkeit, eine größere Anzahl gleichzeitiger Verbindungen zu unterstützen, voraussetzt. Diese Kapazität ist von entscheidender Bedeutung, da eine potenzielle Bedrohung versucht, die Netzsicherheitslösungen während der Nutzungsphasen zu sättigen (z. B. DDoS), um deren Einsatz zu gefährden.
  • Belastungsbedarf: Berücksichtigen Sie nach dem Durchgangsband das tatsächliche Datenaufkommen Ihres Netzes unter Berücksichtigung des Verkehrs zwischen Nord-Süd und Ost-Ost.

Das ist die einzige Möglichkeit, um die Lösungen richtig zu vergleichen.

‍Enviede plonger un peu plus profond ? Lisez la suite :

Quelques fausses croyances...

Der Verkehrsmythos Nord-Süd vs. Ost-Ouest

Wie bereits erwähnt, werden Sicherheitslösungen häufig auf der Grundlage des Nord-Süd-Verkehrs dimensioniert, der im Wesentlichen aus den Eingangs- und Ausgangsdaten Ihres Netzes besteht. Das ist zwar ein kritischer Punkt, aber das ist nicht der größte Teil der Geschichte. Denn der Ost-Ost-Verkehr - also die Daten, die sich später im Inneren Ihres Netzes ausbreiten - ist oft ein Hindernis für Cybermenschen, die in der Nähe bleiben. Ignorieren Sie den Ost-Ost-Verkehr, d.h. schließen Sie Ihre Eingangstür, aber lassen Sie die große Hintertür offen.

Nehmen wir zum Beispiel ein Unternehmen mit einem Nord-Süd-Band von 10 Gbit/s und einem Ost-Ost-Band von 40 Gbit/s, das aufgrund eines hohen Datenaustauschs zwischen den Departements, eines Zugriffs auf Cloud-Dienste und interner Anwendungen überlastet ist. Bei der Bemessung von Sicherheitslösungen, die ausschließlich auf der Grundlage des externen Netzes erfolgen, wird der größte Teil des internen Datenverkehrs ignoriert, so dass potenziell kritische Schwachstellen nicht behoben werden.

Se Fier Uniquement à la Bande Passante : Eine falsche Strategie

Die ausschließliche Konzentration auf das Durchgangsband führt dazu, dass die Kunden andere wichtige Daten wie die Paquets pro Sekunde (PPS), die Verbindungen pro Sekunde (CPS) oder die Sitzungen pro Sekunde und die gleichzeitigen Verbindungen vernachlässigen. Ein Beispiel: Ein Netz kann mit 10 Gbit/s bewertet werden, aber nur 500 000 CPS und 1 Million gleichzeitige Verbindungen erreichen. Wenn Ihr Netz während des kommerziellen Betriebs über 1 Mio. CPS verfügt, kann diese Drosselung trotz einer scheinbar ausreichenden Bandpassage-Kapazität zu Verbindungsverlusten und einer Beeinträchtigung der Sicherheit führen.

Wenn Sie unsere Artikel über das Rebranding von IPS/IDS Suricata oder Zeek gelesen haben und dies als NDR bezeichnen, wissen Sie, dass diese Verfahren entscheidend sind. Vor allem dann, wenn die Netzlösungen anfangen, die Verbindungen zu verlieren, was die Verbindungsüberwachung beeinträchtigt und zu einer Reihe von Faux-Positiv-Meldungen führt.

Hinzu kommt die Notwendigkeit, Verbindungsdaten für die automatische Erfassung aufzubewahren, so dass die Dimensionierung einen ganz anderen Sinn ergibt als "nur das laufende Band". Für die auf Suricata basierenden Lösungen ist das Lagern der Stämme schließlich ressourcenintensiv. Außerdem können die Protokolle für eine einzige Verbindung bis zu 500octet pro Stück benötigen. Dies hat dramatische Auswirkungen auf die Verweildauer von Kunden mit vielen Geräten, die den ganzen Tag über telefonieren. Ein Problem

Ich kenne dein Netzwerk und du kennst dich selbst

Die Art des Datenverkehrs in Ihrem Netzwerk ist entscheidend. So kann z. B. ein hohes Volumen an kleinen Datenpaketen (z. B. Kommunikation von IoT-Geräten) schwieriger zu handhaben sein als ein geringes Volumen an großen Datenpaketen (z. B. Videostreaming). Ein Netz, das hauptsächlich auf kleine Pakete ausgerichtet ist, benötigt optimierte Sicherheitslösungen für eine hohe PPS-Verarbeitung und nicht nur für ein geringes Bandpassagevolumen.

Es ist klar, dass ein alleiniger Fokus auf das Band nicht ausreicht, um robuste Sicherheitslösungen für das Netz zu dimensionieren. Anwender und Kunden sollten sich von den einfachen IDS/IPS-Methoden lösen und sich darauf besinnen, dass wir in einer Zeit leben, in der die automatische Ausbildung zum Standard geworden ist und die Analysten keine Lust auf eine Vielzahl von Fehldetektionen haben, die Zeit kosten, die sie selbst nicht haben.

En gros, lorsque les fournisseurs de solutions de sécurité vous donnent une bande passante de 10Gbit/s ou 40Gbit/s, ce que vous devez vraiment leur demander est : "c'est bien, maintenant dites-moi combien de paquets, sessions ou transactions par seconde nous parlons réellement ?"

...et leur impact sur la cybersécurité

Wir wenden uns nun der Cybersicherheit zu, deren Bedeutung oft unterschätzt wird. Unserer Erfahrung nach kann eine zu starke Konzentration auf das Passantenband von echten Cyber-Sicherheitsproblemen im Spiel ablenken. Vor allem, wenn die Anbieter ihre Lösungen ausschließlich auf die Nord-Süd-Verbindungen der Kunden ausrichten, was auf ein traditionelles IDS/IPS hindeutet. Ziel ist es, eine Bedrohung zu stoppen, bevor sie im Netz auftaucht.

Die Einzelheiten darüber, wie IDS/IPS in der heutigen verschlüsselten IT-Landschaft ihren Einfluss geltend machen können, sind eine Geschichte für einen anderen Tag. Stattdessen sollten wir uns ansehen, dass die Dimensionierung eines NDR (Détection et Réponse Réseau) den Grundsätzen von IDS/IPS entspricht, aber in einer höheren Geschwindigkeit erfolgt. Denn ein NDR begnügt sich nicht mit der Überwachung des Nord-Süd-Verkehrs, sondern untersucht den Ost-Ost-Verkehr und analysiert die Daten für die automatische Ausbildung - Dinge, die wir später noch einmal aufgreifen werden.

In diesem Zusammenhang bietet das Band eine allgemeine, aber sehr trompetenartige Struktur. Deshalb können wir, wenn es um den Schutz Ihres Netzes geht, die Dimensionierung nicht einfach auf den Anwendungsbereich des Passantenbandes beschränken und auf das Beste hoffen. Es bedarf eines differenzierten Ansatzes, der sich an der Größe der Straße orientiert, um zu verstehen, wie wir jede Zufahrtsrampe, jeden Abzweig und jeden gefährlichen Punkt entlang der Strecke schützen können.

Und was schlägt NANO Corp. genau vor?

Eh bien, lorsque nous parlons de bande passante, chez NANO Corp. nous entendons "full line rate". Imaginez : "Kompletter DDoS-Chaot-Modus". Das ist nichts, was Sie brauchen, aber achten Sie darauf, dass Sie ein Pirat sind, der DDoS einsetzt, um Ihre Sicherheitslösungen zu untergraben und den Verkehr zu unterbrechen.

Um diesem Problem zu begegnen, bieten wir Anwendern und Kunden eine einfache Möglichkeit, ihre Lösungen auf die richtige Weise zu dimensionieren:

  • Die Sonden sind kostenlos und die günstigsten auf dem Markt ⇒ Sie benötigen 32 Speicher und 64 Go RAM für ein passives 100Gbit/s-Bandnetz (14.000.000 CPS / 148.500.000 PPS) - la solution est, en fait, très évolutive vous pouvez la construire avec des abaques spécifiant combien de paquets/connexions par seconde vous voulez gérer, et ensuite déduire combien de cœurs de CPU / RAM vous avez besoin.
  • NANO Corp. ist kein Marketing-Bullsh&@! : Sie bekommen das, was Sie wollen. Vous pouvez avoir plusieurs VLANs, couches MPLS, VxLAN, etc... contrairement aux concurrents, nous ne cachons pas les contre-performances dans nos petits caractères (👀 certains fournisseurs qui ne disent pas vraiment qu'ils ne peuvent pas gérer un trafic significatif derrière VLAN/VxLAN). Nos performances sont toujours données pour le pire scénario, ainsi vous pouvez être certain que vous ne manquerez de rien.
Florian Thebault
1. März 2024
Teilen Sie
LinkedIn LogoX-Logo

Möchten Sie
die vollständige Sichtbarkeit Ihres Netzwerks freigeben?

Kontaktieren Sie unsRéservez votre démo ->

Weitere Blogbeiträge

Zum Blog gehen

Le FPGA pour une analyse Zero Trust des paquets réseaux, la fausse bonne idée.

November 10, 2022
Lesen Sie mehr ->

Warum sollte man sein Flussnetz registrieren?

6. Oktober 2022
Lesen Sie mehr ->

Die konzessionsfreie Überwachung des 100-Gbit/s-Flusses

Juni 17, 2021
Lesen Sie mehr ->
Sie haben sich erfolgreich für den Newsletter angemeldet.
Oups! Une erreur s'est produite, veuillez réessayer.
Wenn Sie sich für den Newsletter anmelden, erklären Sie sich damit einverstanden, die neuesten Nachrichten der NANO Corp. zu erhalten. Lire la Politique de confidentialité.
Plattform
Deep Network BeobachtungKI-gesteuerte intelligente AlarmeLive-ForensikIntégrationsRationalisierung SIEM/SOARErsetzung von IDSAbwehr von Bedrohungen OTVollständige Sichtbarkeit des NetzesAutomatisches Erfassen von Paquets
Ressourcen
BlogDokumentationCalculateur du coût des temps d'arrêtFiches-TechnikenPolitik der VertraulichkeitAllgemeine Benutzungsbedingungen
Das Unternehmen
À proposKarrierenWir nehmen Kontakt aufVeranstaltungenPresse
LinkedIn LogoX-LogoYoutube-Logo
Alle Rechte vorbehalten © 2024 NANO Corp.