Analýza chování sítě

Systémy pro analýzu chování sítě tím, že monitorují komunikaci a zaznamenávají změny v typickém provozu, vlastně představují další úroveň bezpečnosti. Tyto systémy totiž obvykle provádějí test síťového chování a sledují jejich změny.



Systémy pro analýzu chování sítě tím, že monitorují komunikaci a zaznamenávají změny v typickém provozu, vlastně představují další úroveň bezpečnosti. Tyto systémy totiž obvykle provádějí test síťového chování a sledují jejich změny.

Pokud například relativně nevyužívaný server začne generovat velké množství požadavků, systém detekce anomálií začne server podezírat z toho, že se stal obětí nějakého typu malwaru. Nebo pokud podniková aplikace obsahující citlivá data začne komunikovat na portu 80 – portu, jenž je na firewallu otevřen pro internetovou komunikaci – může systém poslat třeba varování o možném porušení bezpečnostních směrnic.

Dana Lukase, hlavního bezpečnostního architekta ve společnosti Aurora Health Care, motivoval strach z neznámého typu ohrožení k ochraně zdrojů jeho organizace, která slouží cca 30 tisícům uživatelů, 13 nemocnicím, 175 lékárnám a 125 klinikám ve Wisconsinu.

Lidé si mohou myslet, že vědí, co se děje uvnitř jejich sítě, ale často tomu tak nebývá,“ říká Lukas. Lukas popisuje, že nedávno se jeho síť stala obět spybot viru, který využíval zranitelnost služby Microsoft Server Service. Tato chyba podle zpravodaje Microsoft Security Bulletinu mohla útočníkovi umožnit převzít úplnou kontrolu nad zasaženým systémem. Aktivace viru nastala, když mobilní uživatel připojil svůj infikovaný počítač do firemní sítě. Lukas však dodává, že škody byly v tomto případě minimální, neboť využívá technologii, která detekuje změny v komunikaci.

Přibližně před rokem Lukas implementoval zařízení StealthWatch od firmy Lancope, dodavatele zařízení pro analýzu chování sítě, aby tak mohl lépe monitorovat komunikaci v distribuované síti jeho firmy, a to způsobem, který by klasický systém prevence průniku (IPS, Intrusion-Prevention System) neumožňoval. Tato technologie mu umožňuje v reálném čase vidět, co prochází jeho sítí a případně identifikovat neznámou komunikaci nebo nové vzory komunikace, které by mohly představovat hrozbu.

“Produkt StealthWatch nám pomáhá vidět ´aktuální stav unie´ – a nikoliv pouze to špatné. Tento nástroj rovněž pomáhá při analýze výkonu aplikací,“ popisuje Lukas. „Existují určité věci, které se do naší sítě vnořily, a my vždy nemáme všechny potřebné informace o tom, jak pracují. Potřebovali jsme proto mít možnost je identifikovat bez toho, že bychom o nich museli nutně vědět předem.“












Komentáře