Slovenský operátor SWAN vyřešil bezpečnost zákazníků díky Flowmon Networks
Banky, e-shopy, mediální společnosti, veřejná správa a organizace z mnoha dalších odvětví si uvědomují, že nefunkční internetové připojení může v dnešní digitální době znamenat velký problém a rozsáhlé škody. Není si těžké představit, co asi představuje pro velký e-shop, který odbaví denně desítky tisíc objednávek, pouhé odstavení webu kvůli probíhajícímu kybernetickému útoku typu DDoS. Riziko ale nepředstavují jen finanční ztráty, výpadek může poškodit také reputaci značky nebo loajalitu zákazníků.
Výchozí situace
SWAN je druhým největším poskytovatelem telekomunikačních služeb pro korporátní zákazníky na Slovensku. Operátor vznikl spojením dvou dlouholetých a stabilních hráčů na slovenském telekomunikačním trhu SWAN a BENESTRA. Dokázal tedy se svými technologiemi detekovat útoky typu DDoS, ale možnosti, jak chránit zákazníky, byly omezené. Přičemž doplňkové služby, jako je například přehled o síťovém provozu zákazníka s možností identifikace bezpečnostních rizik, nedokázal poskytnout vůbec.
V posledních letech zaregistroval zvýšenou poptávku ze strany zákazníků po lepším zabezpečení jejich infrastruktury s ohledem na rostoucí počet kybernetických hrozeb, ale také po zvýšení viditelnosti do jejich sítí, které by usnadnilo identifikaci různých anomálií, technických problémů nebo pomohlo zefektivnit síťový provoz.
Řešení
Z uvedených důvodů začal SWAN vyvíjet zcela nový typ služby, která by dokázala zákazníkům nabídnout vše výše zmíněné. ozhodl se pro vývoj nového řešení využít technologie společností Flowmon Networks a F5 Networks, které v oblastech monitoringu a analýzy síťového provozu, stejně jako v zabezpečení před kybernetickými hrozbami, poskytují optimální poměr ceny a hodnoty.
Flowmon kolektor sbírá a ukládá informace o síťovém provozu a díky pokročilé analýze zajišťuje rychlou detekci DDoS útoků. Využívá k tomu statistiky o datových tocích v síťové komunikaci (IPFIX/NetFlow), které odhalují, kým a jak jsou využívány síťové služby. V případě odhalení DDoS útoku zajistí Flowmon vhodnou konfiguraci BIG IP Advanced Firewall Manageru společnosti F5, který okamžitě zahájí mitigaci útoků. Zároveň Flowmon informuje směrovače (routery) v síti, že je potřeba vybraný provoz přesměrovat do mitigačního zařízení F5. Tím dojde k vyčištění útoku a k zákazníkům se dostane pouze legitimní obsah. Jakmile Flowmon identifikuje konec DDoS útoku, zajistí návrat do původního stavu a vymaže konfiguraci ze zařízení F5.
Přínosy
Výsledkem náročného projektu je nová služba Network Control, která umožňuje zákazníkům společnosti SWAN podrobně monitorovat jejich síť, identifikovat bezpečnostní hrozby a odrážet kybernetické útoky, kterým tradiční ochranné prostředky, jako jsou firewall či antivirus, nedokážou čelit.
„Na Slovensku sice nejsme jediný operátor, který dokáže poskytovat ochranu proti DDoS útokům, Network Control se však vyznačuje mimořádnou flexibilitou a klientům přináší vyšší přidanou hodnotu v podobě monitoringu datových toků a detailní viditelnosti v síti. To výrazně usnadňuje práci našim síťovým a bezpečnostním specialistům,“ uvedl Augustín Revák ze společnosti SWAN.
Služba se nabízí ve třech úrovních, přičemž po čtyřech měsících od spuštění ji využívaly už dvě desítky zákazníků operátora z různých odvětví – od bankovnictví až po veřejné instituce. Řešení používá pro ochranu a monitoring také samotný SWAN.
Základní varianta služby nabízí monitoring sítě, detekci DDoS útoků, reporting, automatické upozornění a služby dohledového centra. V případě útoku je možná jednoduchá mitigace pomocí metody RTBH (Remotely Triggered Black Hole), která celou komunikaci na zákazníka zahodí, a tím ochrání jeho infrastrukturu před zahlcením.
Vyšší varianta služby využívá technologii BGP Flowspec a dynamickou signaturu útoků, pomocí které specifikuje chybnou komunikaci a instruuje směrovače, aby ji „zahodily“. Zákazník tak nepřijde o provoz, který neodpovídal dynamické signatuře útoku. Dynamická signatura se navíc průběžně aktualizuje, takže přizpůsobuje mitigační strategii změnám útoku.
Nejvyšší nabízená varianta kombinuje BGP Flowspec a přístup pro přesměrování inkriminované komunikace pro pečlivé vyčištění pomocí F5 BIG IP AFM. Díky nativní integraci mezi řešením společností Flowmon Networks a F5 Networks umožňuje v případě útoku plnou automatizaci včetně automatické konfigurace mitigačního zařízení pro okamžité vyčištění útoku.
Network Control je praktická a cenově dostupná služba, určená veřejným organizacím a takřka každé firmě, pro kterou je důležitá dostupnost webu nebo služeb poskytovaných přes internet. K cílové skupině patří například i menší lokální poskytovatelé internetu.
Budoucnost
Na základě odezvy zákazníků už nyní SWAN pracuje na rozšíření služby Network Control o další doplňkovou funkci. Ta bude pro detekci anomálií a podezřelého chování v síti využívat Flowmon ADS. Zákazníkům přinese ještě podrobnější pohled na dění v síti, které umožní odhalit i velmi specifické a dosud neznámé hrozby, například díky identifikaci paketů, které by se v síti vůbec neměly nacházet, nebo přenosů dat, která by se přenášet neměla. Zároveň zjednodušuje život síťovým administrátorům, protože přináší do procesu identifikace síťových incidentů více inteligence a automatizace.
Fakta o případové studii:
Požadavky:
- rozšířením nabídky služeb s přidanou hodnotou přispět k upevnění předního postavení na trhu ISP;
- zajištění ochrany zákazníků před různými typy DDoS útoků;
- poskytnout několik úrovní služeb dle potřeb zákazníka.
Nasazené produkty:
- Flowmon Collector
- Flowmon DdoS Defender
- F5 BIG IP AFM
Přínosy řešení:
- jednotný nástroj pro monitorování a analýzu provozu interní ISP sítě peeringových a tranzitních linek;
- multitenantní přístup dovoluje implementovat bezpečnostní software jako službu (SaaS);
- nativní integrace s řešením F5 přináší automatizaci při mitigaci DDoS útoků.
