Pokročilé monitorování síťového provozu

Novinkou poslední doby je pak nasazení behaviorálních analýz v rámci auditů provozu v síti.

Historie auditu zaměřeného na síťový provoz je relativně krátká, provádí se přibližně tři roky. Začala spolu s rozvojem nástrojů pro monitoring provozu v sítích, které umožňují sbírat informace o tom, jaký druh provozu a v jakém objemu se v síti objevuje.

Pravý rozmach ale přichází až s nástupem nástrojů pro automatickou analýzu těchto informací, především pro behaviorální analýzu sítě (Network Behavior Analysis, NBA). A právě využití této technologie je největší přidanou hodnotou auditu provozu v síti oproti běžným IT auditům.

Pronikání do Česka
Behaviorální analýzu sítě dosud používaly především velké společnosti v USA zejména z důvodu pracnosti jejího nasazení (průměrně tři měsíce). Ve světě tuto technologii poskytuje zatím šest společností, z toho pět amerických. V České republice byla NBA prvně nasazena v loňském roce  ve formě „odlehčeného“ řešení dostupného i pro menší organizace – to vyvinul vývojový tým z Brna na základě předchozího výzkumu pro americkou armádu.

Proti běžným, v současné době používaným auditům, se nově vytvořená technologie zaměřuje na analýzu reálného děje v síti bez ohledu na používané bezpečnostní nástroje a jejich konfiguraci, bezpečnostní předpisy či charakter organizace.

Inovací české technologie je rychlost a nenáročnost nasazení do sítě, které podle informací jejích tvůrců trvá zhruba jednu hodinu, a výstupy má firma k dispozici ihned. Právě rychlost nasazení umožňuje využívat NBA také formou jednorázové služby auditu provozu v síti.

Popis skutečného stavu
Audit je postaven na analýze provozu, který se v síti skutečně vyskytuje. Z tohoto pohledu hodnotí stav sítě a způsob práce s ní bez ohledu na používané nástroje, směrnice či bezpečnostní politiky. Popisuje tak nejen stav sítě a jejích bezpečnostních prvků, ale nepřímo také například pracovní morálku zaměstnanců nebo dodržování SLA ze strany poskytovatele připojení k internetu.

U nalezených incidentů či problémů poskytuje přesné podklady pro jejich řešení. „Jde například o slovníkové útoky proti serverům, skenování sítě, vzdálený management, šíření malwaru nebo odesílání spamu,“ říká Pavel Minařík, ředitel vývoje české společnosti AdvaICT. „Takto detekované incidenty lze vyřešit dříve, než ovlivní chod celé organizace a eskalují na úroveň nejvyššího managementu.“ Dalším krokem na základě odhalených útoků je nastavení prostředí tak, aby se již nemohly opakovat.

Výstupy auditu provozu sítě mohou sloužit jako podklad při plánované restrukturalizaci sítě či jako nezávislá kontrola existující správy sítě. Audit je také vhodný jako první krok na cestě k trvalému monitoringu a analýze sítě.

Technické parametry
Audit provozu v síti by měl být nastaven tak, aby nenarušoval současnou ICT infrastrukturu. Nedochází k úniku citlivých informací z vnitřní sítě ani ke zpomalení provozu v síti.

„Audit lze zrealizovat i bez vzdáleného přístupu k používanému zařízení a všechna data získaná v průběhu monitoringu sítě jsou při ukončení auditu nenávratně smazána nebo předána příslušné firmě,“ konstatuje Minařík.

Audit provozu sítě je také obvykle navržen tak, aby byl nenáročný na součinnost - firma tak nemusí provádět žádné expertní úkony. Poskytuje pouze základní informace o topologii sítě a asistenci při zapojování zařízení do sítě a následném odpojení po ukončení auditu.

Součinnost technických pracovníků, nutná pro realizaci auditu, je typicky do čtyř hodin. Vladislav Kovář, asistent pro informatiku generálního ředitele společnosti Teplárny Brno, která technologii NBA využívá, k tomu říká, že „systém najde využití i u zákazníků, kteří se neřadí mezi síťové specialisty, protože odstiňuje uživatele od vlastních analyzovaných dat a poskytuje přehledné konsolidované informace s požadovanou podrobností“. Podle něj je implementace systému pro audit provozu datové sítě jednoduchá, rychlá a  žádným způsobem neovlivňuje provoz ve firemní síti.

Efekty auditu
V situaci neustálého zvyšování objemu přenášených dat, na které organizace nejčastěji reagují nákupem výkonnějších síťových prvků a pořízením rychlejšího připojení k internetu, však nejhmatatelnější úsporu generuje popsání struktury provozu a upozornění na část, kterou je možné omezit (například sdílení hudby a prohlížení videí na internetu), a tím zbytečné výdaje eliminovat.

Ruku v ruce s touto úsporou jde také zvýšení produktivity na straně zaměstnanců. Ti při vědomí, že může být kdykoliv vykonán opakovaný náhodný audit, obvykle nežádoucí aktivity omezují a více se věnují své práci.

Vladislav Kovář efekty komentuje slovy, že „trvalé nasazení NBA řešení v datových sítích považuji za maximálně přínosné z důvodů převzetí absolutní kontroly nad děním v datové síti a možnosti proaktivního řešení případných incidentů a potenciálních rizik".

Problémy z praxe
Pro jaké situace je vhodné audit nasadit? Častým problémem firem je zahlcení sítě nebo zpoždění aplikací, způsobené například zahlcováním spojení mezi pobočkami. V modelovém případě se firmě problém svépomocí nepodařilo vyřešit, nepomohla ani výměna podezřelých aktivních prvků či zavedení restriktivních opatření.

Po nasazení specializovaného monitorovacího zařízení se ihned ukázalo, že je na vině aplikace vzdáleného dohledu stanic na pobočkách, která po třech letech bezproblémového provozu vypověděla službu a začala mezi pobočkami přenášet zcela neočekávané objemy dat. Audit provozu datové sítě tak dokázal lokalizovat problém, který firma standardními prostředky nebyla schopna odhalit.

Další otázkou je vnitřní bezpečnost. Firmy, které mají infrastrukturu navrženou podle doporučených pravidel a postupů, včetně ochrany perimetru a důsledné antivirové kontroly, si jsou až příliš často jisty svou bezpečností.

Typickým výstupem auditu v tomto případě bývá identifikace infikovaných zařízení, která se snaží rozesílat spam, nebo porušování bezpečnostní politiky používáním služeb jako ICQ nebo Rapidshare. Dalším příkladem odhaleného incidentu může být masivní používání služeb pro sdílení multimediálních dat (BitTorrent) a internetových úschoven ve firmě, která je existenciálně závislá na uchování průběžně vytvářeného duševního vlastnictví.