Wykrywanie anomalii w sieci

Każdy administrator sieci czy specjalista ds. bezpieczeństwa chciałby na bieżąco otrzymywać informacje o wszelkich nietypowych zachowaniach w sieci - czy to związanych z atakami, czy z nieprawidłową pracą urządzeń lub aplikacji. Okazuje się, że rozwiązania NBA (Network Behavior Analysis) to narzędzia na tyle wszechstronne, że z powodzeniem mogą wspierać zarówno funkcje ochronne, jak i pomagać przy projektowaniu i utrzymaniu sieci oraz aplikacji.

W tandemie jednak (wy)raźniej

Porównanie standardów FlowPrawdziwą siłę systemów NBA wielu dostrzega w możliwości integracji z rozwiązaniami klasy SEM/SIEM w zasadzie dowolnego producenta. Takie połączenie pozwala otrzymać rzeczywisty obraz bezpieczeństwa infrastruktury niemalże na każdym jej poziomie. Z jednej strony napływają informacje ze stacji roboczych, serwerów, zapór ogniowych czy IPS-ów, z drugiej - dzięki NBA - z anomalii ruchu sieciowego. Niektórzy producenci zauważyli tę naturalną tendencję do łączenia wielu funkcji w jednym rozwiązaniu. Przykładem może być chociażby Juniper STRM, stanowiący hybrydę systemu NBA (wykorzystuje rekordy flow oraz jest w stanie dekodować ruch aplikacyjny) i SIEM. Będąc stosunkowo nowym produktem w ofercie sieciowego giganta, STRM stara się przyciągnąć możliwością integracji z innymi produktami, np. IDP czy firewallami. Możliwa jest także integracja z rozwiązaniami firm trzecich.

Rozwiązania NBA wydają się interesującym uzupełnieniem posiadanych systemów bezpieczeństwa - przede wszystkim rozwiązań SIEM i IPS. W Polsce systemy NBA dopiero zaczynają być wdrażane, co trochę dziwi - zwłaszcza że powstały dobre 10 lat temu. Być może barierą jest wysoka cena. Ale przecież są systemy znacznie droższe, a gorzka cenowa pigułka daje się przełknąć, dzięki możliwości współdzielenia wydatków z działami utrzymania sieci.