monitoring - detekce - řízení

moto Najděte bezpečnostní díry ještě před dalším útokem.

Provoz na datových sítích roste. A stále častěji se stává, že nejde o provoz chtěný. Někdy je to jen rekreační brouzdání na Internetu v pracovní době. Jindy ale může jít o závažnější problémy. Různé druhy útoků (slovníkové útoky, DoS, …), odchozí SPAM, šíření malware a mnoho dalších forem nechtěného provozu může uživatele vaší sítě odříznout od interních i externích zdrojů. Co budou dělat bez dostupnosti CRM a dalších klíčových serverů, resp bez všech internetových služeb?
 
Hlavní, níže uvedená, nebezpečí se můžou objevovat izolovaně nebo společně.
Odchází-li dlouhodobě nebo ve velkém objemu z některé sítě „do Internetu“ nechtěný provoz (SPAM, scany, …) dochází často na peeringových místech k omezení veškerého provozu z dané sítě. Ať už jde o omezení celého provozu nebo jen některé služby (např mailový provoz), náprava většinou přichází až jako reakce na problémy reportované uživateli a řešení je často zdlouhavé (např. propagace „čistoty“ do různých black listů používaných mail servery proti SPAMu zabere i několik dnů).
Pakliže se dlouhodobě ve vnitřní síti neřeší bezpečnostní problémy (které typicky nepozná žádný firewall, logovací systém, IPS založená jen na signaturách apod.), může brzy dojít ke kritické kumulaci malware, scannerů, aj. To má často za následek snížení výkonu nejen sítě samotné, ale i serverů, PC a notebooků do dané sítě připojených.
 
Pro předejití nejen výše uvedeným nebezpečím můžete mít mnoho různých krabiček za různé ceny nebo můžete mít multifunkční hybridní systém zabezpečení a řízení - HSS.
Dvě na sobě nezávislé komponenty (systémy ALLOT a FlowMon ADS/C1) je možné snadno spojit do uceleného a automatizovaného systému HSS. Získáte tak řešení, které přesně detekuje aplikace a zároveň různé bezpečnostní problémy. Navíc pro veškerý rozpoznaný provoz (jak různé druhy aplikací, tak i různé druhy nechtěného provozu) můžete nastavit vámi požadovanou formu zpracování - pouze logování/monitorování, priorizace nebo úprava šířky pásma, přesměrování na fyzický port nebo IP adresu, případně danou část provozu jen označkovat (TOSem) a poslat dál. Samozřejmě je možné vybraný provoz i rovnou zahodit.
 
Několik výhod řešení HSS:

• možnost postupného nasazování jednotlivých součástí
• škálovatelnost systému s ohledem na propustnost (pay as you grow od 45Mbps až po stovky Gbps)
• systém můžete nastavit na monitorování nebo řízení (zrychlení/zpomalení/odklonění) provozu
• intuitivní grafické rozhraní pro správu i tvorbu reportů
• každá z částí (ALLOT, FlowMon, ADS resp C1) patří na špičku ve svém oboru
• mimo uvedeného „řízení“ bezpečnosti vám zůstává kompletní sada schopnost všech částí

 
Jakýkoliv systém zasahující do řízení provozu sítě by měl splňovat několik požadavků.
1. Fungující průběžně a při tom (v našem případě řešení bezpečnosti) mimo jiného:

• identifikovat bezpečnostní díry
• izolovat příčiny expozic (škodlivých aktivit)

2. Ucelený, což zahrnuje:

• upřednostňovat snahu o sanaci zranitelností
• posuzovat dopad požadovaných změn na bezpečnost
• schopnost demonstrovat řízení rizik případným auditorům

3. Automatizovaný, tak aby maximálně automatizované bylo:

• roztřiďování provozu bez zásahu administrátora
• minimalizace falešných chyb
• pravidelné poskytování reportů

 
Co je třeba mít na paměti:
Monitorování a následné řízení by mělo být řešené na více úrovních (L3/L4, L7 a například i behaviorální systém). Takovou diverzifikací se vyhnete nebezpečí, že při hledání v jedné úrovni něco "uteče" v jiné úrovni. Zároveň nebudete muset stahovat stále nové a nové signatury a přesto budete mít jistotu, že vám proklouzene modifikace malware.
Zároveň je dobré zvážit reálný výkon systému. Například u systémů na PC platformě se velmi rychle dostanete na hranice možností. Je tedy dobré předem vědět kolik současných a nových spojení systém zvládne. Pak se správným designem vyhnete nebezpečí DoS útoku na váš bezpečnostní systém.