Во многих громких кибератаках последнего времени в России наиболее частыми точками входа в инфраструктуру оказывались ошибки пользователей (фишинг, слабые или типовые пароли) и наличие незакрытых уязвимостей в системах компании. Далее события часто развивались по схожему сценарию: злоумышленники закреплялись внутри инфраструктуры, незаметно перемещались между системами, отключали защитные механизмы, шифровали всё — серверы, документы, резервные копии — и отправляли «письмо счастья» с требованиями. Нередко атакующие месяцами оставались незамеченными внутри корпоративной сети, пока их действия не приводили к серьёзному ущербу для бизнеса. Этот опыт наглядно показывает, что одних только средств защиты периметра и конечных точек уже недостаточно для обеспечения комплексной безопасности корпоративной инфраструктуры.

В этой связи стоит напомнить о важности использования средств сетевой безопасности, таких как NTA/NDR, принцип работы которых основан на анализе копии сетевого трафика. Эти системы способны выявлять аномальное поведение и скрытые угрозы, однако их эффективность напрямую зависит от того, насколько качественно организован процесс получения и доставки сетевого трафика для анализа.

В современных корпоративных сетях и сетях ЦОД количество точек мониторинга и разнообразие применяемых систем анализа постоянно растут. Для эффективного управления этим сложным ландшафтом необходим централизованный подход к сбору, обработке и распределению сетевого трафика. Именно здесь на первый план выходят брокеры сетевых пакетов — ключевой элемент современной архитектуры мониторинга. На схеме ниже показано, как они интегрируются в инфраструктуру и создают надёжный фундамент для работы систем сетевого анализа.

Такая архитектура обладает целым рядом преимуществ, в частности:

• Повышение качества анализа достигается за счёт централизованной фильтрации и предобработки трафика с помощью брокера. Он позволяет каждой системе анализа получать только необходимые данные, что повышает точность выявления угроз и снижает количество ложных срабатываний.

• Лёгкость масштабирования обеспечивается за счёт того, что брокер позволяет одинаково просто добавлять как новые точки съема трафика, так и дополнительные системы анализа. При необходимости подключения новых точек сети достаточно один раз подключить их к существующему брокеру — после этого он централизованно распределит трафик в нужные системы анализа. Аналогично, при расширении набора аналитических инструментов брокер обеспечивает их быстрое подключение без необходимости переконфигурации сети. Такой подход позволяет масштабировать архитектуру мониторинга без негативного влияния на стабильность сетевой инфраструктуры.

• Удобство эксплуатации достигается благодаря использованию брокера сетевых пакетов как единого центра агрегации и управления трафиком. Он получает копии трафика из сети, выполняет его предобработку и распределяет потоки между системами анализа. Такой подход избавляет от необходимости прямого подключения каждой системы безопасности к источникам трафика.

Ключевые задачи, решаемые брокером сетевых пакетов

В этом разделе рассмотрим типичные задачи и кейсы применения брокера сетевых пакетов.

Обеспечение полной видимости трафика в сети организации

Одной из ключевых задач при организации сетевого мониторинга является устранение «слепых зон» — участков сети, из которых система анализа не получает данных и, соответственно, не видит полной картины происходящего. Для решения этой задачи брокер использует функцию агрегации, которая позволяет объединять копии трафика, поступающие с различных источников — таких как ответвители (TAP) и SPAN-порты. При этом в агрегацию могут включаться линки разных типов — оптические и медные — и разных скоростей (от 10 Мбит/с до 100 Гбит/с), что обеспечивает сбор данных из разнородных сегментов сети в единый поток.

Подробнее о выборе подходящего механизма сбора трафика мы писали в этой статье.

Агрегация позволяет сформировать единый поток данных, который передаётся в систему анализа и обеспечивает максимально эффективное использование её портовой ёмкости — без необходимости подключения отдельного интерфейса к каждой точке съёма данных.

В современных сетях могут возникать ситуации, когда скорость поступления агрегированного трафика временно превышает пропускную способность канала передачи в систему анализа, что приводит к риску потери данных. Чаще всего это происходит при агрегации большого числа слабонагруженных интерфейсов, когда в нескольких из них одновременно происходят кратковременные всплески трафика.

Для решения этой проблемы брокер использует функцию буферизации — временного сохранения входящего трафика в собственной памяти. Благодаря буферизации, или «защите от всплесков», брокер предотвращает потерю пакетов и обеспечивает гарантированную доставку полного объёма данных в систему анализа.

Снижение нагрузки на средства анализа

Брокеры сетевых пакетов играют ключевую роль в снижении нагрузки на аналитические системы. Благодаря оптимизации трафика они позволяют сократить объём данных, обрабатываемых системами безопасности, на 50–70%. Это помогает быстрее и точнее выявлять угрозы без лишних затрат на вычислительные ресурсы анализаторов.

Функция фильтрации позволяет брокеру отсеивать трафик, не нужный для анализа. Отбор происходит по различным полям пакета на уровнях L2, L3 и L4, а также по их комбинациям. Например, можно исключить служебные данные или потоки, не представляющие интереса с точки зрения безопасности — такие, как бэкап или видеонаблюдение. Это снижает нагрузку на средства анализа, позволяя им сосредоточиться на действительно значимых событиях и не тратить ресурсы на обработку заведомо безопасного или технического трафика.

Функция дедупликации позволяет брокеру устранять повторяющиеся копии одного и того же пакета, которые могут возникать при съёме трафика из разных точек сети. Такая ситуация часто происходит, когда один и тот же поток данных проходит через несколько сетевых устройств и попадает в систему анализа в нескольких экземплярах. Дедупликация на уровне брокера существенно снижает объём передаваемого трафика и нагрузку на аналитические системы, при этом полностью сохраняет уникальную информацию для последующего анализа.

Функция обрезки сессий позволяет брокеру передавать только первые пакеты каждой сетевой сессии, удаляя последующие, которые не несут ценности для анализа. Такой подход особенно полезен при работе с большим объёмом зашифрованного трафика. Например, если аналитические системы не поддерживают расшифровку данных, детальный анализ содержимого становится невозможен, а нагрузка на систему при передаче всех пакетов сессии значительно возрастает. В таких случаях брокер передаёт только начальные пакеты, содержащие информацию, необходимую для идентификации и классификации трафика, что снижает объём данных и уменьшает нагрузку на средства анализа.

Обрезка туннельных заголовков позволяет брокеру удалять внешние заголовки, используемые при инкапсуляции трафика (например, GRE, VXLAN и других технологий туннелирования), и передавать аналитическим системам только исходный пакет. Если этого не сделать, часть средств анализа может использовать данные из туннельного заголовка для идентификации соединения, что приведёт к некорректному определению реальных участников сессии и искажённым результатам анализа.

Обрезка данных позволяет брокеру удалять всю часть полезной нагрузки пакета, оставляя только служебные заголовки, необходимые для анализа. Эта функция полезна в ситуациях, когда содержимое пакета не содержит значимой информации для систем анализа или создаёт избыточную нагрузку. Например, при передаче видеопотоков и VoIP-сессий с большим объёмом данных можно ограничиться первыми байтами, достаточными для идентификации и классификации трафика.

Балансировка трафика применяется в тех случаях, когда производительности одной системы анализа недостаточно даже после фильтрации и оптимизации трафика. Брокер распределяет сетевой поток между несколькими системами анализа одного вида, обеспечивая равномерную нагрузку и предотвращая перегрузки. При этом пакеты одной сессии всегда направляются на одну и ту же систему, чтобы сохранить целостность и корректность анализа данных.

Одновременное подключение разных видов систем анализа

Помимо систем NTA/NDR в корпоративной инфраструктуре может возникнуть необходимость одновременного подключения других решений информационной безопасности, работающих на копии трафика, таких как DAM или IDS/IPS, а также средств ИТ-мониторинга — например, Performance Monitoring или Network Troubleshooting.

Функция репликации позволяет брокеру создавать независимые потоки сетевого трафика для каждого подключаемого средства анализа. Благодаря репликации брокер формирует отдельные, независимые потоки данных для каждой аналитической системы. Такой подход исключает конкуренцию за трафик между различными инструментами анализа и гарантирует, что добавление новых систем не повлияет на работу уже действующих решений.

Заключение

Брокеры сетевых пакетов играют ключевую роль в современной архитектуре мониторинга, существенно повышая эффективность систем анализа сетевой безопасности. В этой статье мы рассмотрели основные сценарии применения и ключевые функции брокеров, но это далеко не полный перечень их возможностей — такие устройства могут включать дополнительные инструменты для обработки трафика под специфические задачи. Если вам интересна тема мониторинга и сетевой безопасности, подписывайтесь на наш Телеграм-канал, где мы регулярно публикуем полезные материалы и реальные кейсы.