Мониторинг сетевого трафика и ИТ-безопасность

Эксперты Flowmon рассказывают, как инструменты мониторинга и анализа сети повышают безопасность компаний.

ИТ-безопасность обеспечивается антивирусными программами, брандмауэрами, специализированными системами, соответствующими политиками или тренингами для пользователей. Все чаще это неадекватные инструменты. Киберпреступники всегда на шаг впереди. Без постоянного мониторинга компании не смогут избежать атак и не смогут полностью защитить свои сетевые ресурсы. Даже простой мониторинг сетевого трафика может выявить аномалии и позволить сетевым администраторам принять соответствующие меры. Чем совершеннее решение для мониторинга, тем больше знаний об угрозе и тем точнее способы защиты всей ИТ-инфраструктуры организации. - комментирует Дариуш Ярецкий, региональный менеджер Польши, Flowmon Networks.

Традиционный мониторинг сетевой инфраструктуры

Традиционный мониторинг сетевой инфраструктуры основан на SNMP (простой протокол управления сетью), то есть протокол управления сетью. SNMP предоставляет базовую информацию о доступности через IP-сеть отдельных устройств, которые создают сетевую инфраструктуру, таких как маршрутизаторы, коммутаторы, серверы и компьютеры. Информация в нем является основными данными для сетевого администратора.

В случае внезапного увеличения трафика в данной сети традиционный мониторинг дает только информацию об увеличении количества пакетов и объема передаваемых данных, но без более конкретной информации о причине аномалии, конкретном источнике увеличенного трафика и что именно (протокол, устройство, служба) вызывает необычную ситуацию. Эта важная информация может быть получена только с использованием более совершенных инструментов мониторинга инфраструктуры.

Мониторинг сетевого трафика

Мониторинг сетевого трафика предоставляет больше информации, чем базовая система SNMP. Генерирует статистику по передаче данных (содержимое сообщения не сохраняется). Эти статистические данные показывают поток данных в сети. Вы можете думать о них как о списке телефонных звонков. Мы знаем, кто с кем общается, когда, как долго, как часто, но мы не знаем, что является предметом разговора. Мониторинг сетевого трафика включает IP-адреса, объем данных, время, используемые порты, протоколы и другие технические характеристики связи TCP / IP на третьем и четвертом уровнях сети.

Мониторинг потока данных

Еще больше информации администраторы сети могут получить благодаря NetFlow - стандарту потока данных. Статистика NetFlow предоставляется сетевыми устройствами (маршрутизаторами, коммутаторами) или специализированными автономными аппаратными зондами. Эти зонды подключены к контролируемой сети как пассивные устройства для создания точной и подробной статистики потока с копией сетевого трафика. Потоки IP, созданные зондом, содержат информацию о том, кто с кем общался, как долго, по какому протоколу, сколько данных и куда они были отправлены, а также много другой информации из заголовков пакетов (TCP, ToS, AS). Зонд NetFlow поддерживает экспорт данных в установленном формате NetFlow версии 5 или в гибких форматах NetFlow версии 9 и IPFIX, которые позволяют осуществлять прямой выбор отслеживаемой и экспортируемой информации.

Зонды NetFlow позволяют отслеживать положение более высоких уровней TCP / IP (L5 - L7), таких как информация HTTP (URL, имена хостов), статистика VoIP (задержка, дрожание, потеря пакетов) или непосредственно выполнять обнаружение приложения (поддержка NBAR2). В результате зонд предоставляет не только простую количественную информацию о сетевом трафике, но и более подробную информацию о том, что происходит в компьютерной сети, должным образом адаптированное для решения сетевых проблем (устранения неполадок), анализа производительности сети (мониторинга производительности), управления и оптимизации. сети и повысить безопасность сети.

Например: пользователь из одного из филиалов компании имеет слабую связь с внутренней системой, расположенной физически в штаб-квартире удаленной организации, а также жалуется на медленную загрузку веб-сайтов. Уведомленный администратор из головного офиса быстро проверяет систему мониторинга и немедленно идентифицирует конечную станцию, которая загружает огромные объемы данных из Интернета. Кроме того, администратор может легко и сразу реагировать на такую ​​ситуацию, то есть уведомлять пользователя об уменьшении или даже прекращении загрузки данных из Интернета.

Поведенческий анализ сети

В настоящее время компании, в дополнение к системам брандмауэров и для обнаружения и предотвращения вторжений (IPS), должны также внедрить систему обнаружения аномалий, основанную на мониторинге сетевого трафика. Эти системы часто называют NBA / NBAD (обнаружение аномалий поведения сети), и они отслеживают необычное поведение, события или тенденции в корпоративной сети. Системы NBA способны обнаруживать угрозы, в отношении которых другие средства безопасности неэффективны, например, специально написанные вредоносные программы, вирусы и бот-сети, не обнаруженные антивирусными программами, или другие угрозы, связанные с пользователями внутренней сети.

NBA обнаруживает сетевые атаки, аномалии, расширенные угрозы и нежелательное поведение. Эта система основана на непрерывной автоматической оценке и анализе статистики сетевого трафика (на основе NetFlow / IPFIX), генерируемой зондами NetFlow, активными сетевыми устройствами (коммутаторами, маршрутизаторами) или другими инструментами (например, брандмауэрами). Целью системы NBA является выявление проблем безопасности, эксплуатационных проблем и повышение безопасности сети. Основным преимуществом по сравнению с обычными системами обнаружения и предотвращения вторжений является ориентация на общую работу устройств в сети, что позволяет противодействовать неизвестным или конкретным угрозам.

Основным преимуществом по сравнению с обычными системами обнаружения и предотвращения вторжений является ориентация на общую работу устройств в сети, что позволяет противодействовать неизвестным или конкретным угрозам

при условии infoWire.pl