AdvaICT – ti, co vidí do datových toků

Celosvětově existuje asi deset dodavatelů řešení, pomocí nichž jsou podrobně zkoumány různé anomálie či jiné parametry síťového provozu. Převážně jde o americké firmy, ale své želízko má i Česká republika.

V tuzemsku se na tuto problematiku totiž zaměřuje společnost AdvaICT, dodavatel softwaru FlowMon ADS (Anomaly Detection System). Na rozdíl od konkurence jsou výsledky auditu prováděného pomocí českého řešení k dispozici v řádu pouhých hodin.

„Při analýze datového toku na třetí a čtvrté vrstvě síťového modelu se hodnotí stav sítě a způsob práce s ní bez ohledu na používané nástroje, směrnice či bezpečnostní politiky. Popisuje tak nejen stav sítě a jejích bezpečnostních prvků, ale nepřímo také například pracovní morálku zaměstnanců nebo dodržování SLA ze strany poskytovatele připojení k internetu,“ říká Pavel Minařík, managing director a chief technology officer ve společnosti AdvaICT. „U nalezených incidentů či problémů pak poskytuje detailní podklady pro jejich rychlé a efektivní vyřešení.“

Navíc audit přenosu dat nijak nenarušuje existující ICT infrastrukturu a nedochází k úniku citlivých informací z vnitřní sítě ani ke zpomalení provozu v síti. Zapojení zařízení do sítě je z pohledu auditované sítě dokonce nezjistitelné.

„Analyzované informace je možné přirovnat k výpisu telefonních hovorů – víme, kdo se s kým bavil, kdy a jak dlouho, vlastní obsah komunikace však zůstává skrytý. V našem případě jsou to zdrojová/cílová IP adresa, zdrojový/cílový port, číslo protokolu. Pro každý tok je zaznamenán čas vzniku, délka trvání, počet přenesených paketů a bytů a další technické informace, jako jsou příznaky spojení nebo typ služby na úrovni IP protokolu,“ vysvětluje Michal Vaverka, vedoucí technické podpory AdvaICT.

Na základě základních atributů datových toků je pak možné odvozovat další znaky, jako například počet bytů na jeden paket nebo aplikační službu podle čísla portu. Datové toky jsou přitom v praxi reprezentovány různými průmyslovými standardy, zejména NetFlow od společnosti Cisco. Ten podporují směrovače, přepínače nebo specializovaná zařízení označovaná jako síťové sondy.

„Tato zařízení následně exportují statistiky na kolektor nebo analytický server, kde jsou uloženy, připraveny na vizualizaci a další analýzu nebo jsou přímo dále zpracovány ve specializovaném softwaru pro detekci nežádoucího chování a anomálií provozu sítě,“ dodává Vaverka.

Výhodou celého řešení je mimo jiné také to, že firma nemusí provádět žádné expertní úkony. Realizátorovi auditu poskytuje pouze základní informace o topologii sítě a asistenci při zapojování zařízení do sítě a následném odpojení po ukončení auditu.