Artykuły
Wykrywanie anomalii w sieci
12 października 2009,
Patryk Królikowski
Każdy administrator sieci czy specjalista ds. bezpieczeństwa chciałby na bieżąco otrzymywać informacje o wszelkich nietypowych zachowaniach w sieci - czy to związanych z atakami, czy z nieprawidłową pracą urządzeń lub aplikacji. Okazuje się, że rozwiązania NBA (Network Behavior Analysis) to narzędzia na tyle wszechstronne, że z powodzeniem mogą wspierać zarówno funkcje ochronne, jak i pomagać przy projektowaniu i utrzymaniu sieci oraz aplikacji.
W modelu SOA duży nacisk kładzie się na zakres i jakość oferowanych usług. Z jakością coraz częściej wiąże się także wzrost wymagań wobec bezpieczeństwa, przy jednoczesnej redukcji środków na bieżące utrzymanie. W infrastrukturze zaczyna się pojawiać coraz więcej krytycznych usług z biznesowego punktu widzenia, a te z kolei stawiają coraz wyższe wymagania infrastrukturze sieciowej - rośnie zapotrzebowanie na pasmo, zaostrzane są normy bezpieczeństwa. Wreszcie, coraz trudniej zapanować nad tym, co z czym się komunikuje, gdzie i dlaczego.
Dla specjalisty ds. bezpieczeństwa najważniejsze jest dążenie do wykrywania nowych zagrożeń oraz takich, które przebijały się przez tradycyjne mechanizmy ochronne. "Sieciowiec" ma trochę inne priorytety. Jego interesują przede wszystkim: wgląd w trendy, informacje statystyczne i charakterystyka ruchu w sieci, począwszy od ogólnego obrazu, a na szczegółowych informacjach o powiązaniach pomiędzy usługami skończywszy. Rozwiązania NBA to swoisty mariaż bezpieczeństwa i typowej sieciówki, pozwalający na nawiązanie nici porozumienia pomiędzy działami, które na co dzień korzystają z bądź co bądź dość odmiennych narzędzi. Wspólny mianownik dostrzegła także firma badawcza Yankee Group, która w jednym ze swoich raportów plasuje produkty NBA pomiędzy narzędziami do zarządzania siecią a produktami związanymi z bezpieczeństwem.
Czy to to samo?
Stosuje się dwa pojęcia na określenie w zasadzie tej samej grupy narzędzi: NBA (Network Behavior Analysis) oraz NBAD (Network Behavior Anomaly Detection). Co do zasady przyjmuje się, że NBA jest pojęciem szerszym i określa system, który jest w stanie spojrzeć na zachowanie sieci całościowo. Natomiast NBAD to taka część systemu NBA, której głównym obszarem zainteresowań jest bezpieczeństwo.
Wdrożenie NBA w sieciNiektórzy używają obu terminów zamiennie, choć częściej stosuje się termin NBA. Bez względu jednak na nazwę, podstawowym zadaniem tego typu rozwiązań jest rozpoznawanie wszelkich zachowań w ruchu sieciowym odbiegających od wcześniej ustalonego wzorca i podjęcie na tej podstawie określonych działań. Aby było to możliwe, NBA musi śledzić charakterystykę ruchu sieciowego w czasie rzeczywistym (lub bliskim rzeczywistego).
Z punktu widzenia bezpieczeństwa, NBA może być traktowany jako uzupełnienie tradycyjnych systemów ochronnych. Ponieważ nie jest oparty na żadnych sygnaturach, a jedynie na analizie behawioralnej, pozwala na wykrycie wielu zagrożeń, które "manifestują" swoją obecność określonymi zachowaniami w sieci - często ataków zero-day. Jesteśmy więc w stanie wykrywać np. aktywność robaków, konie trojańskie, ataki DoS, skanowania sieci. W razie wykrycia robaka czy replikacji wirusa możemy wyśledzić, gdzie pojawiło się zagrożenie po raz pierwszy i skąd przyszło. Ewidentną korzyścią posiadania systemu NBA jest wykrywanie ukierunkowanych, rozłożonych w czasie ataków, tzw. low and slow; IPS-y mają problemy z wykrywaniem tego typu zagrożeń. Możemy również błyskawicznie zorientować się, czy w naszym środowisku nie pojawiła się przypadkiem nowa usługa, np. nowy serwer WWW w DMZ, czy nowy, nieznany do tej pory host. Bardzo łatwo namierzyć użytkowników P2P, torrentów i innych niedozwolonych polityką firmy aplikacji obciążających sieć. Łatwiej także wskazać konkretnego winowajcę. Ponadto jesteśmy w stanie wychwycić budzące niepokój interakcje między systemami. Jeżeli np. nigdy nie odnotowano połączenia między serwerem FTP a systemem SAP, to NBA poinformuje nas o tym fakcie.
Dla specjalisty ds. bezpieczeństwa najważniejsze jest dążenie do wykrywania nowych zagrożeń oraz takich, które przebijały się przez tradycyjne mechanizmy ochronne. "Sieciowiec" ma trochę inne priorytety. Jego interesują przede wszystkim: wgląd w trendy, informacje statystyczne i charakterystyka ruchu w sieci, począwszy od ogólnego obrazu, a na szczegółowych informacjach o powiązaniach pomiędzy usługami skończywszy. Rozwiązania NBA to swoisty mariaż bezpieczeństwa i typowej sieciówki, pozwalający na nawiązanie nici porozumienia pomiędzy działami, które na co dzień korzystają z bądź co bądź dość odmiennych narzędzi. Wspólny mianownik dostrzegła także firma badawcza Yankee Group, która w jednym ze swoich raportów plasuje produkty NBA pomiędzy narzędziami do zarządzania siecią a produktami związanymi z bezpieczeństwem.
Czy to to samo?
Stosuje się dwa pojęcia na określenie w zasadzie tej samej grupy narzędzi: NBA (Network Behavior Analysis) oraz NBAD (Network Behavior Anomaly Detection). Co do zasady przyjmuje się, że NBA jest pojęciem szerszym i określa system, który jest w stanie spojrzeć na zachowanie sieci całościowo. Natomiast NBAD to taka część systemu NBA, której głównym obszarem zainteresowań jest bezpieczeństwo.
Wdrożenie NBA w sieciNiektórzy używają obu terminów zamiennie, choć częściej stosuje się termin NBA. Bez względu jednak na nazwę, podstawowym zadaniem tego typu rozwiązań jest rozpoznawanie wszelkich zachowań w ruchu sieciowym odbiegających od wcześniej ustalonego wzorca i podjęcie na tej podstawie określonych działań. Aby było to możliwe, NBA musi śledzić charakterystykę ruchu sieciowego w czasie rzeczywistym (lub bliskim rzeczywistego).
Z punktu widzenia bezpieczeństwa, NBA może być traktowany jako uzupełnienie tradycyjnych systemów ochronnych. Ponieważ nie jest oparty na żadnych sygnaturach, a jedynie na analizie behawioralnej, pozwala na wykrycie wielu zagrożeń, które "manifestują" swoją obecność określonymi zachowaniami w sieci - często ataków zero-day. Jesteśmy więc w stanie wykrywać np. aktywność robaków, konie trojańskie, ataki DoS, skanowania sieci. W razie wykrycia robaka czy replikacji wirusa możemy wyśledzić, gdzie pojawiło się zagrożenie po raz pierwszy i skąd przyszło. Ewidentną korzyścią posiadania systemu NBA jest wykrywanie ukierunkowanych, rozłożonych w czasie ataków, tzw. low and slow; IPS-y mają problemy z wykrywaniem tego typu zagrożeń. Możemy również błyskawicznie zorientować się, czy w naszym środowisku nie pojawiła się przypadkiem nowa usługa, np. nowy serwer WWW w DMZ, czy nowy, nieznany do tej pory host. Bardzo łatwo namierzyć użytkowników P2P, torrentów i innych niedozwolonych polityką firmy aplikacji obciążających sieć. Łatwiej także wskazać konkretnego winowajcę. Ponadto jesteśmy w stanie wychwycić budzące niepokój interakcje między systemami. Jeżeli np. nigdy nie odnotowano połączenia między serwerem FTP a systemem SAP, to NBA poinformuje nas o tym fakcie.
Komentarze (0)
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...