Streaming Network Sensor (SNS)

Streaming Network Sensor

SNS

Security-Enriched Flow Data for Cyber Threat Intelligence

Highlights


  • Critical High-Capacity Network Links에서 보안 모니터링
  • 4 x 10G에서 최대 16 x 100G까지 샘플링 없는 플로우 데이터 생성 (400G 급)
  • 고급 패킷 헤더/터널 처리 기능
  • 표준 기반의 IPFIX Flow를 보안 툴로 export

  • 라이브 네트워크 트래픽을 액션 가능한 IPFIX 플로우 데이터로 변환
  • 샘플링 없는 플로우 데이터 생성으로 100% 가시화 보장
  • Layer 7 enrichment로 전후 상황을 고려한 컨텍스트 측정 추가
  • Encrypted Traffic Analysis가 fingerprint / signature를 생성하여 위협 탐지를 도움


Security-Enriched Flow Data for Cyber Threat Intelligence

공격 표면이 확장되고 현대 사이버 위협이 고도화 됨에 따라 SecOps 팀은 네트워크 사각지대를 없애고 위협 탐지 기능을 최대화 할 수 있도록 확장성을 갖춘 고급 가시화 솔루션을 필요로 합니다. 

가시성을 최적화 하기 위해 NetQuest의 Streaming Network Sensor는 방대한 규모의 네트워크를 실시간으로 모니터 합니다. 

암호화 여부에 상관 없이 모든 패킷을 감시하며 enriched, unsampled 플로우 레코드를 추출하여 비정상 행위를 탐지하고 감염 지표를 감지하여 보안성을 보장합니다. 

Streaming Network Sensors for Deep Intelligence


  • Flow Generation이 표준 기반의 1:1 샘플링 되지 않은 IPFIX 플로우 데이터 생성
  • Advanced Packet Processing이 대량의 header / tunnel 제거를 수행하고 타겟 패킷 플로우를 통과 시키거나 shunt 
  • Application Classifier : Enea의 Qosmos ixEngine을 활용하여 플로우 레코드에 Layer 7 애플리케이션 분류 정보를 포함
  • Network Security : 감염 지표를 실시간으로 식별
  • Mobility : 가입자 수준의 통찰을 위해 GTP 터널 내 가시성 추가

.

NextGen Network Sensors for Threat Hunting


보안 팀은 NetQuest의 SNS250 Network Sensor를 통해 샘플링 되지 않은 스트리밍 메타데이터를 생성합니다. 

SNS250은 10G 링크 하나에서 여러 개의 100G 네트워크 링크 규모까지 샘플링 하지 않은 플로우 데이터를 생성합니다. SNS는 모든 패킷을 분석하여 100%의 가시성을 제공하면서도 다운스트림 보안 툴로의 데이터 용량은 95%까지 줄여줍니다.

SNS 유저는 추가 확장을 위해 애플리케이션 별로 플로우를 필터링 하고 여러 툴로 플로우 데이터를 로드 밸런싱 함으로써 다운스트림 툴 오프로드를 할 수 있습니다.


Application Notes

오픈 데이터 플랫폼을 통해 플로우 기반의 보안 분석 최적화

네트워크 사각지대를 없애고 빅데이터 딜레마를 극복하기 위해 보안 팀은 샘플링 된 플로우 데이터에서 완전한 충실도를 갖춘 네트워크 메타데이터를 이용한 위협 인텔리전스로 움직이고 있습니다. 

동시에, 네트워크 트래픽은 100Gbps 이상으로 마이그레이션 하고 있어 네트워킹 장비, 컴퓨트 리소스, 그리고 예산에 어마어마한 부하를 주고 있습니다. 네트워크 보안 솔루션 중에 현대의 초규모의 모니터링 요구사항을 비용 효율적으로 만족시키는 것은 거의 없으나 NetQuest의 SNS가 그 답이 되어 드립니다. 


NetQuest와 ElastiFlow는 실시간 방법론과 보안 분석 솔루션을 결합하여 제공합니다 :

  1. 10G와 100G 트래픽 링크로 된 혼잡 네트워크에서 100% 패킷 처리를 실해하고 플로우 기반의 통계를 추적
  2. 실시간 플로우 정보를 표준 기반의 IPFIX 데이터 레코드로 변환
  3. 데이터 수집, 변형, 정규화 하여 일반적인 오픈 데이터 분석 풀랫폼이 사용할 수 있도록 함
  4. 추가적인 컨텍스트 제공을 위해 네트워크 정보를 풍부하게 하여 위협 상황을 조사, 식별
  5. 사전에 로딩 된 플로우 분석 모듈 제공으로 데이터 가시화와 분석 과정을 간소하게 함
사이버 보안을 위한 Network Sensor Scale Flow Analysis

인터넷의 지리적 확장, 연결된 디바이스 수의 대량화, 서비스와 컨텐츠의 증가 등으로 인해 네트워크 트래픽은 지속적으로 증가합니다. 보안 가시성을 유지하고 위협을 식별하려면 이러한 규모를 감당할 수 있는 가시화 아키텍쳐가 필요합니다. 


NetQuest SNS / FlowTraq Network Security Solution
  • 샘플링 되지 않은 IPFIX를 사용하여 Tier 1 ISP 100G 피어링 커넥션 보호 및 모니터
  • NetQuest SNS IPFIX IPv4/IPv6 프롤우 레코드를 FlowTraq의 수집, 분석 정보와 연동
  • NetQuest SNS가 샘플링 되지 않은 플로우 데이터를 생성하여 표준 기반의 IPFIX 플로우 레코드로 보냄
  • FlowTraq이 샘플링 되지 않은 IPFIX 플로우 레코드를 수집하여 100G 피어링 링크 (피크 트래픽) 분석
인터넷 피어 링크 보호를 위한 고기능의 Netflow IIPFIX 생성
High Capacity Monitoring Service Node

ISP 피어링 커넥션이 100G 이상으로 마이그레이션 하고 있습니다. Tier 1 캐리어에게 있어서 필요한 보안 수준을 유지하는 것이 비용 문제를 포함하여 매우 어려운 과제가 되었습니다.

NetQuest의 Streaming Network Sensors (SNS)는 최신의 Field Programmable Gate Array(FPGA) 기술을 활용하여 100/200/400G 까지의 링크 마이그레이션을 수용할 수 있는 플로우 분석 아키텍쳐를 제공합니다.


  • High-Capacity Peering Interconnection의 패시브 모니터링
  • N x 100G Unsampled Flow Metering
  • 패킷 헤더 및 터널 사전처리 자동화
  • 모듈러 타입의 컴팩트한 1RU 크기로 공간, 전원, 쿨링 최적화 


비용 효율적인 100G 액세스를 위해 상용 스위치와 SNS를 결합하여 구성합니다. 

SNS는 보안 툴과 모니터링 툴이 필요로 하는 가시성 제공을 보장하기 위해 고급 패킷 처리를 하면서도 CAPEX, 랙 공간, 전력 사용, 그리고 쿨링 비용까지 고려해 줍니다. SNS의 컴팩트한 디자인은 최대 8개의 100G 카드를 싱글 랙에 장착하여 최대 3.2Tbps의 고급 패킷 처리 능력을 제공합니다.


  • 메타데이터 생성
  • Layer 7 / Encryption Details
  • Indication of Compromise
  • Advanced Header Stripping
  • IP Tunnel Decpasulation

NetQuest SNS Portfolio

SNS250


  • Critical High-Capacity Network Links 보안 모니터링
  • Unsampled IPFIX 플로우 레코드
  • 최대 16 x 100G Unsampled Flow Metadata 생성
  • 스탠더드 플로우 데이터 (src/dst IP, port, proto)
  • Advanced Packet Header 및 Tunnel Processing
  • 보안 툴로 표준 기반의 플로우 메타데이터 전달
  • 컴팩트한 1RU 사이즈의 모듈러 플랫폼으로 공간, 전원소비, 쿨링 최적화
SNS1000


  • Enriched Flow Intelligence로 보안 모니터링 가시성 확대
  • Unsampled IPFIX 플로우 레코드
  • Advanced Packet Processing
  • L7 애플리케이션 구분, DPI 기반
  • 강력한 Layer 7 애플리케이션, 네트워크 프로토콜 및 트래픽 휴리스틱스 시그니처 기반의 강력한 감염 인디케이터 (IoC)
  • Encrypted traffic analysis
  • 위협 인텔리전스의 효율성과 확장성 향상
ModelFlow GenerationAdvanced Packet ProcessingApplication ClassificationNetwork SecurityMobility
SNS250VOptionalXXX
SNS1000VOptionalOptional
Optional
Optional