Wykrywanie i eliminowanie zagrożeń zanim staną się prawdziwym problemem dla firmy to ładna teoria, której przeczą codzienne doświadczenia praktyczne. Rozwiązanie Cisco Systems o nazwie CS-MARS to krok w kierunku urzeczywistnienia owej niedoścignionej wizji.

Tempo rozprzestrzeniania się zagrożeń w sieciach wciąż rośnie. Dzieje się tak pomimo wykorzystywania przez organizacje całej gamy systemów zabezpieczeń: zapór sieciowych, systemów przeciwdziałających włamaniom, bramek szyfrujących VPN i innych doniosłych technologii. Wystarczy jednak, że choć jeden komputer nie zostanie zabezpieczony, a wszystkie te systemy stają się bezużyteczne. Już po kilku minutach od pierwszej infekcji wirusy są zdolne wywołać chaos w całej firmowej sieci.

Mechanizmy rozprzestrzeniania się współczesnych infekcji wirusowych wykorzystują prosty fakt - brak koordynacji informacji o tym, co dzieje się w różnych zakątkach sieci oraz jakie zdarzenia zachodzą równocześnie w różnych warstwach infrastruktury. Każdy system specjalizowany pilnuje swojego odcinka - zapora filtruje nagłówki pakietów TCP/IP, oprogramowanie antywirusowe sprawdza treść przesyłanych danych, systemy blokowania włamań poszukują specyficznych "zbiegów okoliczności" w warstwie sieciowej i aplikacyjnej... Gdyby owa koordynacja i wiedza istniała, omijanie systemów zabezpieczeń byłoby znacznie trudniejsze.

Oddzielną kwestią jest szybkość reakcji na wykrywane zdarzenia. Jest ona wprost zależna od szybkości kojarzenia problemów z fizyczną lokalizacją w firmowej sieci. W końcu czym innym jest pojawienie się konia trojańskiego na obrzeżu sieci, a czym innym w segmencie serwerowym - ciężar gatunkowy tych zdarzeń jest zupełnie inny. Aby móc w lot "pojąć", jakie jest znaczenie określonego zdarzenia dla bezpieczeństwa sieci, konieczne jest więc szybkie wyławianie problemów i kojarzenie ich z informacją o topologii - najlepiej w czasie rzeczywistym.

Jak na razie tego typu możliwości nie były dostępne szerszemu gronu klientów. Dzięki przejęciu przez Cisco Systems specjalistycznej firmy Protego Networks pod koniec 2004 r. ten stan uległ zmianie. Opracowane przez Protego rozwiązanie, oferowane obecnie przez Cisco pod nazwą CS-MARS (Cisco Security Monitoring, Analysis and Response System), jest w stanie śledzić wszystkie warstwy sieciowe jednocześnie, a w szczególności porównywać aktualne dane o topologii sieci i konfiguracji urządzeń ze zjawiskami zachodzącymi w wyższych warstwach.

Sieć jak na dłoni

Za pośrednictwem protokołu SNMP system CS-MARS bada strukturę fizyczną oraz logiczną sieci, w szczególności odczytując konfigurację usług dynamicznego przydzielania adresów IP (DHCP), a także usług translacji adresów IP (NAT). Ta bieżąco odświeżana wiedza stanowi informację referencyjną dla danych znajdujących się w logach pochodzących z systemów zabezpieczeń, urządzeń sieciowych i serwerów.

W przypadku gdy systemy zabezpieczeń zaczną raportować niepokojące zdarzenia, CS-MARS skojarzy je z danymi o ruchu sieciowym, który odbywał się w tym czasie "w okolicy" wskazanych systemów. Dane potrzebne do tego celu będą wywodzić się z działających na urządzeniach sieciowych Cisco usług NetFlow. Porównując dane na temat ruchu sieciowego z określonego (bardzo krótkiego) okresu czasu z aktywnymi w owym momencie konfiguracjami usług DHCP i NAT pośredniczących w komunikacji między atakującym a celem ataku, rozwiązanie CS-MARS jest w stanie odtworzyć ścieżkę całej sesji komunikacyjnej między urządzeniem atakowanym a źródłem ataku.

Wskazanie źródła zagrożenia w sposób niebudzący wątpliwości jest możliwe, nawet wtedy gdy rozpatrywana sesja przebiegała przez kilka serwisów DHCP i NAT, co przy topologiach wykorzystywanych współcześnie jest bardzo prawdopodobne. Wielokrotne zmiany adresów IP czy adresy powtarzające się nie są w stanie utrudnić ustalenia źródła potencjalnego ataku - usługi DHCP będą bowiem wskazywać na adresy MAC kart sieciowych urządzeń.

Tak skomplikowana analiza sesji dla ruchu odbywającego się w całej sieci w większych firmach wymaga w praktyce bardzo dużej mocy obliczeniowej. Z tego powodu Cisco oferuje CS-MARS jako zintegrowane rozwiązanie sprzętowo-programowe. Zawarte w nim dedykowane akceleratory sprzętowe pozwalają na dynamiczne kojarzenie danych z wielu źródeł i budowanie obrazu sesji w czasie rzeczywistym.

Oprócz wykrywania fizycznej i logicznej topologii sieci, współpracy z usługami DHCP, NAT i NetFlow oraz analizy logów systemów zabezpieczeń, rozwiązanie Cisco integruje w sobie także skaner podatności na ataki. Wykrywając anomalie lub otrzymując alerty z systemów blokowania włamań, CS-MARS jest w stanie szybko stwierdzić, czy są to tylko nietypowe zbiegi okoliczności traktowane niesłusznie jako zagrożenia, czy też są to zagrożenia realne.

Mądrość skomasowana

Scentralizowane przetwarzanie i kojarzenie przez CS-MARS danych z wielu źródeł stwarza zupełnie nowe warunki pracy dla specjalistów zajmujących się ochroną sieci. Zamiast ślęczeć nad tabelkami zawierającymi zapisy pojedynczych zdarzeń, rozwiązanie Cisco umożliwia im skupienie się na analizie kilkudziesięciu podejrzanych "przypadków". Co więcej, ich wartość informacyjna jest zasadniczo większa niż to, co można zobaczyć w standardowej konsoli zapory czy systemu blokowania włamań.

Mówiąc wprost, zamiast szukać igły w stogu siana, administratorzy mogą poświęcać swój czas na sprawdzanie, czy zgłaszane przez system bezpieczeństwa jako całość alarmy są uzasadnione. Wstępną analizę stanu aktualizacji i konfiguracji systemu CS-MARS wykona za nich, albo równolegle z innymi, ręcznymi narzędziami, i przedstawi im własne wnioski. Wykrywane zależności i zagrożenia CS-MARS w czasie rzeczywistym wizualizuje na schematach sieci, obrazując kolorami relacje między urządzeniami będącymi źródłami zagrożeń i ich ofiarami. Podejmowanie decyzji o wyłączeniu segmentu sieci lub określonego urządzenia nie przedstawia w takich warunkach wielkiego problemu. To właśnie jest cel nowej klasy rozwiązań - usuwanie problemów, nie zaś tworzenie nowych.