Analýza chování sítě

Co si myslí přední dodavatelé bezpečnostních řešení o systémech analyzujících chování uvnitř sítě, díky kter...


Co si myslí přední dodavatelé bezpečnostních řešení o systémech analyzujících
chování uvnitř sítě, díky kterým lze odhalit i neznámé typy útoků? Strana 27
Správa změn v SAN
Progresivní IT společnosti hledají nové a kreativní způsoby, jak velikost a
komplexnost řešení SAN zvládnout, a stále častěji ve své infrastruktuře
zavádějí nástroje pro správu změn, jež v mnoha případech tvoří součást
prostředků pro kompletní správu velkých úložišť. Strana 28
Nebezpečné notebooky
Naši manažerku bezpečnosti bolí hlava. Důvodem je stres, který zažívá v
souvislosti s nasazením přenosných počítačů pro pracovníky její agentury. Jako
lék nasazuje nejen kávu a čokoládu, ale i pečlivé naplánování takzvaného
bezpečného notebooku. Strana 30
Systémy pro analýzu chování sítě tím, že monitorují komunikaci a zaznamenávají
změny v typickém provozu, vlastně představují další úroveň bezpečnosti. Pokud
například relativně nevyužívaný server začne generovat velké množství
požadavků, systém detekce anomálií začne server podezírat z toho, že se stal
obětí nějakého typu malwaru. Nebo pokud podniková aplikace obsahující citlivá
data začne komunikovat na portu 80 portu, jenž je na firewallu otevřen pro
internetovou komunikaci může systém poslat třeba varování o možném porušení
bezpečnostních směrnic.
Dana Lukase, hlavního bezpečnostního architekta ve společnosti Aurora Health
Care, motivoval strach z neznámého typu ohrožení k ochraně zdrojů jeho
organizace, která slouží cca 30 tisícům uživatelů, 13 nemocnicím, 175 lékárnám
a 125 klinikám v americkém Wisconsinu.
"Lidé si mohou myslet, že vědí, co se děje uvnitř jejich sítě, ale často tomu
tak nebývá," říká Lukas. Lukas popisuje, že nedávno se jeho síť stala obětí
spybot viru, který využíval zranitelnost služby Microsoft Server Service. Tato
chyba podle Microsoft Security Bulletinu mohla útočníkovi umožnit převzít
úplnou kontrolu nad zasaženým systémem. Aktivace viru nastala, když mobilní
uživatel připojil svůj infikovaný počítač do firemní sítě. Lukas však dodává,
že škody byly v tomto případě minimální, neboť jejich společnost využívá
technologii, která detekuje změny v komunikaci.
Přibližně před rokem Lukas implementoval zařízení StealthWatch od firmy
Lancope, dodavatele zařízení pro analýzu chování sítě, aby tak mohl lépe
monitorovat komunikaci v distribuované síti jeho firmy, a to způsobem, který by
klasický systém prevence průniku (IPS, Intrusion-Prevention System)
neumožňoval. Tato technologie mu umožňuje v reálném čase vidět, co prochází
jeho sítí a případně identifikovat neznámou komunikaci nebo nové vzory
komunikace, které by mohly představovat hrozbu.
"Produkt StealthWatch nám pomáhá vidět ,aktuální stav unie a nikoliv pouze to
špatné. Tento nástroj rovněž pomáhá při analýze výkonu aplikací," popisuje
Lukas. "Existují určité věci, které se do naší sítě vnořily, a my vždy nemáme
všechny potřebné informace o tom, jak pracují. Potřebovali jsme proto mít
možnost je identifikovat bez toho, že bychom o nich museli nutně vědět předem."
Další úroveň bezpečnosti Firmy jako Arbor Networks, GraniteEdge Networks,
Lancope, Mazu Networks či Q1 Labs nabízejí produkty, které takovýto typ
monitorování komunikace a analýzy chování známých i neznámých hrozeb provádějí.
Cisco tuto technologii rovněž nabízí s tím, že jeho funkce MARS (Monitoring
Analysis and Response System) provádí detekci síťových anomálií a umí
interpretovat signály a varování od zařízení IPS a reagovat zasláním pravidel
na směrovače a přepínače.
Nástroje pro monitorování komunikace s cílem odhalit potenciální průlomy se
stávají hlavní zbraní v arzenálech bezpečnostních manažerů. Podle zprávy
společnosti Gartner bude na konci roku 2007 využívat takové nástroje v rámci
svých strategií síťové bezpečnosti zhruba čtvrtina společností.
"Tato technologie poskytuje jasnější pohled do potenciálních bezpečnostních
hrozeb na síti," říká Stephen Elliot, analytik ze společnosti IDC. "Výrobci
nyní staví na přidané inteligenci týkající se toho, jak reagovat na tyto
hrozby, kdo je ohrožený, co je infikované. A tato technologie tak poskytuje
lepší přehled o stavu síťové bezpečnosti," dodává.
V případě Lukasovy firmy firma Lancope dodává svůj software StealthWatch v
rámci samostatných zařízení, jež jsou distribuována napříč celou sítí, a to
obvykle poblíž hlavního přepínače nebo směrovače datového centra. Tento produkt
není umístěn v linii síťové komunikace, nýbrž pouze pasivně monitoruje
konverzaci mezi servery a jejich klientskými systémy. Lukas si tento produkt
vybral, neboť může sledovat NetFlow data ve směřovačích Cisco a monitorovat
komunikaci bez nutnosti distribuovat uvedená samostatná zařízení do každé
lokality. NetFlow je přitom technologie firmy Cisco, jež slouží k uchovávání
historie toku dat ve směrovačích a přepínačích. Využití NetFlow a následná
analýza dat pomocí nástrojů od firmy Cisco a dodavatelů třetích stran může
odhalit síťové trendy jako je třeba využití šířky pásma a protokolů, či dokonce
stanovit vzory uživatelské komunikace.
Technologie firmy Lancope Lukasovi rovněž pomáhá chránit na jeho síti zařízení,
na něž ne vždy může aplikovat záplaty. "Máme určitá zařízení, která nemůžeme
aktualizovat nebo na ně nahrávat antivirový software, a to kvůli jejich
zaměření orientovanému na poskytování medicínských služeb to zcela určitě
představuje určitý problém," vysvětluje Lukas. "Jednoduše na těchto zařízeních
nemůžeme vypnout porty, neboť jsou důležité pro lékařské účely. Avšak to, že
víte, co se děje v síti, může včas pomoci je ochránit."
Zmenšení problémů
Ostatním technologickým uživatelům dodává analýza chování sítě lepší znalosti a
dovoluje jim zredukovat ruční práci, kterou představuje vyhledávání a
odstraňování problémů. S tím souvisí úspora času, kterou pak mohou věnovat
řešení jiných problémů.
David Obrys, bezpečnostní koordinátor globální infrastruktury v chemické
společnosti Cabot, používá nástroj Profiler od Maze Networks, a to především ke
zrychlení reakce na potenciálně nebezpečné události.
"Než jsme tuto technologii implementovali, trvalo nám celé dny, než jsme prošli
logovací záznamy a zjistili, co vlastně nějakou událost způsobilo," popisuje
Obrys. "Nyní můžeme okamžitě porozumět tomu, co se právě děje na naší síti, a
je mnohem snazší zjistit, co je v infrastruktuře špatného. Rychlost je velmi
důležitá, když se jedná o bezpečnost."
James Ballou, specialista na bezpečnost informačních systémů v organizaci
Driscoll Childrens Hospital, zase uvádí, že i s malým týmem mu nová
technologie, která automatizuje sběr a analýzu dat, lépe pomáhá zabezpečit jeho
vnitřní síť. Používá řešení MARS od firmy Cisco Systems určené pro detekci
anomálií v síťovém provozu, neboť tato technologie prohlíží data z různých
zdrojů, vyhodnocuje potenciální rizika a provádí korelaci s dalšími událostmi
na síti. "Pro zmenšení problémů potřebuji proaktivní, konzistentní řízení
hrozeb a předprogramované reakce vestavěné přímo do našeho systému," prohlašuje
Ballou. Neznámé hrozby
David Arbo tvrdí, že jeho systém Arbor Networks Peakflow X rozpoznává neznámé
varianty známých virů a červů, což je pro tohoto ředitele služeb infrastruktury
a informační bezpečnosti ve společnosti APL důležité.
"Zažili jsme okamžiky, kdy jsme byli zabezpečeni proti známému viru, ale
objevila se nová varianta malwaru a my jsme na ni ještě neměli profil," říká
Arbo. "Technologie firmy Arbor Networks nám ale, když takový scénář nastane,
dává mnohem lepší informace a také nám sdělí, zda máme blokovat porty či které
oblasti jsou zasažené."
Produkt Arbor Peakflow X kvantifikuje normální chování sítě, a to analýzou
statistických údajů o toku dat získaných z takových zařízení, jako Cisco
NetFlow, Juniper Networks cFlow, sFlow od Extreme Networks a systémy od firmy
Foundry Networks, stejně jako analýzou samotných dat paketů. Tuto informaci
využívá pro definici hranic normálního chování sítě. Arbo dodává, že informace
o toku dat je užitečná také pro úpravy struktury sítě, jako je například
segmentace. "Využíváme systémy Arboru i pro analýzu a jejich výstupní informace
nám pomáhají aplikovat další úrovně ochrany, jako jsou například firewally či
nástroje IDS nebo IPS," říká Arbo. "Pokud rozumím tokům v síti, pak také vím,
kam nejlépe umístit bránu nebo filtr komunikace."
Navzdory své nesporné síle by technologie analýzy chování sítě mohla doznat
určitých vylepšení. Arbo by v produktu uvítal více plánovacích funkcí tak, aby
mohl lépe vyhodnotit dopad změn, které provádí v síti. Přestože výrobci ve
svých různých produktech poskytují funkce automatické nápravy, zákazníci
potřebují mít větší důvěru v akce, které produkt provede v reakci na události v
síti.
"Klíčovou oblastí pro tyto dodavatele je umožnit zákazníkům pohybovat se
rychleji a s větší důvěrou, pokud jde o výsledky, které jejich produkty mohou
garantovat," uzavírá Arbo.
(pal) 6 1530 Analýza chování v síti v českém prostředí
Informace o tom, co si myslí o tomto způsobu prevence narušení někteří významní
dodavatelé bezpečnostních řešení, vám přinášejí následující řádky.
Petr Stýblo, Netcool Technical Account Manager ECE, IBM ČR
Nasazení systémů pro analýzu chování sítí a detekci síťových anomálií, které
fungují na principu monitorování datových toků na síťových prvcích, podle mého
názoru významnou měrou zvyšuje zabezpečení firemní IT infrastruktury.
Sledováním a porovnáváním změn v chování síťového provozu v reálném čase tyto
systémy oproti klasickým prostředkům poskytují možnost včasného varování před
vznikem potenciálního bezpečnostního incidentu. Díky těmto informacím tak mohou
IT/security manažeři proaktivně a včas reagovat na podezřelé situace, a vyhnout
se tak riziku vzniku vysokých nákladů spojených s eliminací důsledků úspěšných
síťových útoků nebo porušení korporátních bezpečnostních pravidel.
Zejména v kontextu uplatňování bezpečnostních standardů a nařízení, jako jsou
ISO 1799, Basel II či Sarbanes-Oxleyův zákon, dále z důvodů řízení interních a
externích rizik, naplnění principů tzv. corporate governance nebo kvůli splnění
auditních požadavků dnes věnují globální i tuzemské společnosti mimořádný důraz
na komplexní viditelnost veškerých bezpečnostních událostí a záznamů napříč
celou IT infrastrukturou a obchodními aplikacemi. Společnost IBM například
využívá výsledky analýzy síťového chování a detekované anomálie jako jeden ze
vstupů pro své řešení SIEM (Security Information/Event Management) TSOM (Tivoli
Security Operations Manager). To dokáže korelovat tyto síťové bezpečnostní
události jak na úrovni jednotlivých prvků síťové infrastruktury, tak i
vertikálně s informacemi získanými z operačních systémů, aplikačního
middlewaru, aplikací a ostatních bezpečnostních nástrojů, jako jsou například
firewally, identity management systémy, IDS/IPS systémy, proxy servery nebo
antivirové programy. Takto korelované záznamy, navíc doplněné o obchodní
kontext, jsou dostupné v normalizované podobě v jediné centrální databázi, což
významně usnadní identifikaci a řešení bezpečnostních potíží a zefektivní
auditní procesy.
Radek Smolík, Country Manager, Symantec ČR
IPS systémy ve své druhé generaci již skutečně vyzrávají. Zákazníci přecházejí
k proaktivním systémům, které pracují v in-line módu a dokáží transakce přímo
rozpojit. Nové signatury umějí zjistit pokusy o šíření některých červů. Podle
obsahu paketů na 7. vrstvě OSI modelu lze detekovat zejména kódy, které se
pokoušejí o přetečení zásobníku na cílovém operačním systému. Největším
nedostatkem IPS systémů ale zůstává jejich obrovská "upovídanost". Generují
statisíce až miliony událostí, které správci nedokáží sledovat, natož jim
porozumět. Systémy jako MARS sice mohou pomoci, avšak jen když se jedná o
vlastní Cisco zařízení. Úloha, kterou bezpečnostní manažeři potřebují v praxi
řešit, má zadání poněkud odlišné: "Jak spojit do jednoho pohledu události z IPS
systémů, korporátních firewalů, osobních firewallů, antivirů a dalších
bezpečnostních řešení? Jak to udělat, i když pocházejí od různých výrobců? Jak
agregovat a korelovat miliony událostí do několika málo incidentů?" Až poté lze
bezpečnost řídit a incidentům předcházet. Takovým řešením, které umožní
celkovou bezpečnostní situaci pochopit a řízeným způsobem ji zlepšovat, je
například Symantec Security Information Manager. Dokáže získávat události z
mnoha různých bezpečnostních systémů, normalizovat, agregovat a korelovat je do
jednotek incidentů, hodnotit s nimi spojené riziko a dynamicky vytvářet návody
k jejich vyřešení. Pomocí vestavěného workflow podpoří komunikaci
bezpečnostních a provozních specialistů, informovanost helpdesku a další
důležité procesy.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.