Efektivita nové bezpečnostní technologie

Abyste se mohli úspěšně bránit proti červům a malwaru, musíte je nejprve poznat. V dnešních rychle se rozvíjející...


Abyste se mohli úspěšně bránit proti červům a malwaru, musíte je nejprve
poznat. V dnešních rychle se rozvíjejících sítích, kde jsou útočníci často o
krok před vývojáři produktů na jejich potírání, je detekce anomálii důležitou
inovací. Mnozí prodejci spoléhají na detekci hrozeb pomocí signatur. Zákazníci
však mnohdy musejí na signaturu pro nové červy čekat celé dny, přičemž jsou
jejich sítě v kritickém mezičase těmto narušitelům vydány napospas. Proto
existují alternativní způsoby preventivního zabezpečení proti nežádoucím
aktivitám v síti. Jednou z nejlepších metod je dle mého názoru analýza chování
sítě. Ta je jednou z nejspolehlivějších bezpečnostních technologií, nedávno
klasifikovaných analytickou společností Gartner. Jejím jádrem jsou tři typy
algoritmů pro detekci anomálií. Ty slouží k identifikaci objevujících se
hrozeb. Protokolový algoritmus detekuje pakety, které jsou příliš krátké,
obsahují nejednoznačné možnosti či porušují specifické protokoly aplikační
vrstvy. Jsou nejužitečnější pro detekci útoku na úrovni hostitele.
"Rate-based" algoritmus odhaluje pokusy o přetížení porovnáním s modelem
normálních provozních objemů. Nejlepší pro odhalení DoS (Denial-of-Service)
útoků.
Algoritmus relační a týkající se chování zjišťuje změny ve způsobech, jakými
jednotlivci či skupiny hostitelů v síti navzájem komunikují. Například když
normální tichý hostitel každou sekundu začne navazovat spojení se stovkami
jiných přes SQL port, může jít o indikaci červa. Je dobrý pro vyhledání celé
škály hrozeb od červů přes malware až k nedovolenému zásahu osoby z vnitřku
organizace. Použitím určitého algoritmu na detekci problémů, jež jsou jeho
specializací, můžete předejít nežádoucím aktivitám v síti. Protože detekce
anomálií vyhledává jen podstatné změny v chování sítě, je zde menší
pravděpodobnost falešného poplachu. Zároveň je tato metoda méně náročná na
konfigurování a údržbu než mnohé další. Analýza chování sítě však nekončí s
detekcí. Po odhalení hrozby tato technologie operátorům umožňuje podezřelý
provoz zasadit do historického kontextu a porovnat se zbylým provozem. Systém
analýzy rovněž může podniknout preventivní opatření, zablokovat vybraný port na
switchi, dát určitý síťový provoz do karantény na oddělené virtuální LAN nebo
zavést filtrování či přístupovou kontrolu pro zamezení dalšího šíření hrozby.
"Behavior modeling" je stejně tak použitelný na detekci jako ke zmírňování
napáchaných škod. Systémy analýzy síťového chování mohou také generovat filtry
pro blokování nežádoucího provozu a zároveň simultánně rozhodovat, co filtrem
propustit. Úspěšná aplikace detekce anomálií je zároveň věda i umění. Efektivní
použití technologie bezpečnostními dodavateli vyžaduje obrovskou zkušenost se
sítěmi, hrozbami a k nim odpovídajícími detekčními algoritmy. Při správném
nastavení se detekce anomálií stává extrémně efektivním nástrojem ke zjišťování
a zneškodňování síťových hrozeb a měla by být součástí každého bezpečnostního
balíčku.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.