Analiza behawioralna: nie tylko rozpoznawanie zagrożeń w sieci
11 października 2007 14:18
Józef Muszyński
Żaden problem nie jest tak krytyczną sprawą dla zarządców sieci, jak objęcie dogłębną analizą całego ruchu przepływającego przez ich sieci.
Niezależnie od tego, czy powodem są rosnące wymagania uregulowań prawnych, czy pojawiające się coraz bardziej ukierunkowane ataki i najnowsze techniki ukrywania się kodów złośliwych, muszą oni identyfikować i blokować tradycyjne ataki i namierzać złośliwy ruch oraz nowe ataki w biegu, poza działaniem tradycyjnych zapór ogniowych, systemów wykrywania i zapobiegania wtargnięciom.
W celu namierzenie złośliwej aktywności w sieci, technologie bezpieczeństwa najszerzej stosowane - oprogramowanie antywirusowe, IDS/IDP czy zapory ogniowe - opierają się na listach znanych wzorców lub statycznych reguł. Chociaż oparta na sygnaturach obrona jest istotnym komponentem arsenału środków ochrony, to jednak konieczna jest możliwość identyfikowania ukrytych ataków, które uchodzą uwadze tradycyjnym systemom ochrony. Coraz bardziej popularne stają się systemy sieciowej analizy behawioralnej (NBA - Network Behavior Analysis), które studiują i zapamiętują normalne wzorce ruchu w sieci, co pozwala im na identyfikowanie anomalii i potencjalnie szkodliwego ruchu nawet wtedy, gdy nie istnieją jeszcze sygnatury pozwalające na taką identyfikację.
Generalnie, technologie NBA tworzą poziom odniesienia dla normalnych działań dla każdego hosta podpiętego do sieci, poprzez przechwytywanie pakietów w czasie pierwszych tygodni wdrażania systemu oraz kiedy nowy host dołączany jest do sieci. Informacje zebrane z hostów i urządzeń sieciowych zawierają m.in. takie wskaźniki zachowań, jak liczba pakietów SYN wysyłanych i odbieranych przez urządzenie, normalna częstotliwość przesyłania pakietów czy całkowita liczba bajtów wysyłanych w ciągu doby, a także porty i usługi, które każdy host oferuje w sieci.
Od tego poziomu odniesienia system NBA tworzy profile różnych atrybutów i akceptowalnych zachowań oraz poziom tolerancji. Następnie, kiedy działania urządzenia przekraczają ten poziom, system powiadamia o tym administratora.
Poza behawioralnym poziomem odniesienia, systemy NBA używają wzorców porównawczych do identyfikowania ruchu, który zachowuje się niewłaściwie. Dzięki temu system nie musi uczyć się poszczególnych działań w sieci - np. skanując aktywność nieautoryzowanych hostów - aby wiedzieć, że są to działania szkodliwe.
Połączenie metody porównywania wzorców z analizą behawioralną identyfikuje podejrzany ruch i powiadamia administratora o konieczności przeprowadzenia dalszego rozpoznania. Z biegiem czasu system staje się coraz dokładniejszy, ponieważ informacje tworzące poziom odniesienia są sprzęgane zwrotnie z algorytmem, który analizuje informacje w ujęciu historycznym, ulepszając analizę.
Narzędzia NBA mogą także pomagać w konsolidacji i wdrażaniu rozwiązań bezpieczeństwa sieci i narzędzi monitorowania wydajności oddziałach zamiejscowych. W dużych rozproszonych środowiskach, liczących niekiedy setki oddzielnych ośrodków, typowym podejściem jest zazwyczaj wdrążanie agentów na wszystkich hostach - co jest przedsięwzięciem dość kosztownym i niezwykle trudnym do zarządzania - lub wdrażanie sensorów IDS/IPS w każdej lokalizacji, co także jest niezwykle kosztowne. Jeżeli iDS/IPS oraz powiązane z nimi aplikacje bezpieczeństwa są wdrażane w głównym centrum danych, a technologia NBA instalowana jest w ośrodkach odległych, to istnieje niewielka potrzeba wdrażania tam drogich urządzeń i agentów programowych.
Technologia NBA wydaje się być wszechstronna - poza tym, że potrafi identyfikować ukryte i jeszcze nieznane ataki to, dzięki prowadzonej analizie ruchu, dodatkowi wnosi możliwość lokalizowania problemów w sieci i dostarcza danych do planowania jej rozwoju.
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
odpowiada...
