Firewall a IPS: Kudy vede další cesta? (2)

17. 9. 2011

Sdílet

Zatímco minule jsme se soustředili na problematiku monitorování datových sítí a jeho vlivu na bezpečnost příslušné infrastruktury, dnes se zaměříme na anlýzu přenášenýých dat s cílem odhalit různé anomálie.

Čtěte také: Firewall a IPS: Kudy vede další cesta? (1)

 

Zpracování a vyhodnocení statistik o provozu na síti je nekonečný, stále se opakující proces vyhledávání nežádoucích vzorů chování a stavů sítě, aktualizace profilů chování a srovnání běžného stavu se stavem aktuálním s cílem odhalit anomálie. A jaké výsledky je možné očekávat? Jde o širokou škálu detekcí od běžných nežádoucích aktivit jako je skenování sítě, slovníkové útoky, útoky typu Denial of Service nebo útoky na aplikační protokoly přes aktivity peer-to-peer sítí až po spyware, viry nebo sítě typu botnetů.

Tím však možnosti nekončí, analýza chování může pomoci při odhalování nežádoucích aplikací, špatně nakonfigurovaných zařízení, využívání anonymizačních služeb v internetu, dále uživatelů, kteří nejvíce vytěžují síť, nebo dokonce identifikovat zdroj zpoždění na síti. Zajímavým výsledkem analýzy chování jsou profily chování, které jsou de facto živou konfigurační databází všech aktivních zařízení na síti. Díky profilům chování lze rozlišit servery a klienty v síti a získat přehled o využívaných a poskytovaných službách.

Jaké konkrétní přínosy nasazení systému monitoringu sítě a analýzy chování přináší? Jedná se zejména o efektivnější procesy, neboť problémy jsou odhaleny a rozkryty dříve než způsobí neplánované noční směny, výpadky a rozčílené uživatele či zákazníky.

Dalším přínosem je lepší ochrana infrastruktury před (staro)novými bezpečnostními hrozbami (sociální inženýrství, útoky zevnitř, úniky dat…), zneužíváním sítě zaměstnanci nebo využíváním nežádoucích služeb a šíření nelegálního software.

Z ekonomického hlediska dochází k významné úspoře nákladů, a to především díky snížení pracnosti správy IT infrastruktury, minimalizaci nákladů vyplývajících z odstraňování následků bezpečnostních incidentů nebo kontrolou dodržování SLA ze strany dodavatelů.

Nabízí se otázka, jak úspěšné jsou řešení NBA ve srovnání s klasickými systémy IDS/IPS. Jednoznačnou odpověď ale na tuto otázku nelze dát. Každý výrobce samozřejmě tvrdí, že právě jeho systém má vysokou úspěšnost detekce. Bezesporu má v rámci určité metodiky pravdu. Ovšem absolutně nejdůležitějším kritériem (ostatně, každý výrobce jedním dechem dodává, že „minulé výsledky nejsou zárukou výsledků budoucích“) je celková koncepce a filozofie nástroje nebo alespoň počet implementovaných metod pro analýzu provozu.

V souvislosti s rozvojem outsourcingu a modelu software jako služby (Software as a Service) lze využít i vzdálené zpracování a vyhodnocení statistik o provozu na síti. Předpokladem pro využití takové služby je schopnost generovat statistiky o provozu na síti, tedy NetFlow data.

Díky tomu je možné získat pokročilé řešení odhalování nežádoucích vzorů chování a stavů sítě a detekce anomálií on-line bez nutnosti instalovat či zprovozňovat specifický software ve své síti. Na základě modelu SaaS (Software-as-a-Service) si řešení automatického zpracování statistik o provozu na síti, detekce nežádoucích stavů a chování sítě může vyzkoušet prakticky jakýkoliv zájemce. Nasazený systém funguje tak, že statistiky o provozu na síti jsou zabezpečeně doručovány do vyhodnocovacího centra, které poskytuje správci dané sítě okamžité výsledky.

 

Závěrem

Nasazení pokročilého řešení pro bezpečnostní monitoring sítí a behaviorální analýzu založeného na monitorování datových toků umožňuje organizacím předcházet ztrátám v důsledku nedostupnosti sítě, snižovat náklady na provoz a zabezpečení sítě, ochránit investice do síťové infrastruktury, zvýšit spolehlivost a dostupnost sítě a maximalizovat spokojenost jejich uživatelů a zákazníků.

K těmto závěrům dochází i společnost Gartner, která v materiálu Network Behavior Analysis Update vydaném dne 6.11.2007 (další aktualizace reportu je plánována až na příští rok) identifikuje technologii NSM/NBA jako další stupeň ochrany datových sítí nezbytný pro 21. století.

Aberdeen Group, zabývající se benchmarkingem IT řešení vidí dle zprávy vydané v listopadu 2009 budoucnost zejména v integraci výstupů NBA/NSM systémů s výstupy ostatních systémů a zvyšování věrohodnosti odhalování útoků a anomálií vzájemnou korelací těchto výstupů.

V zahraniční, zejména v USA, jsou známé sondy společnosti Endace, Napatech nebo nPulse. Kolektorů pro sběr statistik existuje celá řada např. NetFlow Tracker, Calligare Flow Inspector nebo množství open source řešení.

bitcoin_skoleni

Mezi dodavatele kompletního řešení včetně analýzy chování patří firmy Lancope, Enterasys, Q1Labs, Global DataQuard a další. V segmentu poskytovatelů připojení k internetu je známý zejména produkt Arbor Peakflow určený pro odhalování masivních anomálií.

V České republice se problematice monitoringu sítí a analýzy chování zařízení na síti věnují společnosti Invea-Tech a AdvaICT, které nabízí vlastní řešení FlowMon zahrnující sondy, kolektory s řadou rozšiřujících pluginů a systém detekce anomálií pod názvem ADS.