Wykrywanie anomalii w sieci

Każdy administrator sieci czy specjalista ds. bezpieczeństwa chciałby na bieżąco otrzymywać informacje o wszelkich nietypowych zachowaniach w sieci - czy to związanych z atakami, czy z nieprawidłową pracą urządzeń lub aplikacji. Okazuje się, że rozwiązania NBA (Network Behavior Analysis) to narzędzia na tyle wszechstronne, że z powodzeniem mogą wspierać zarówno funkcje ochronne, jak i pomagać przy projektowaniu i utrzymaniu sieci oraz aplikacji.

W modelu SOA duży nacisk kładzie się na zakres i jakość oferowanych usług. Z jakością coraz częściej wiąże się także wzrost wymagań wobec bezpieczeństwa, przy jednoczesnej redukcji środków na bieżące utrzymanie. W infrastrukturze zaczyna się pojawiać coraz więcej krytycznych usług z biznesowego punktu widzenia, a te z kolei stawiają coraz wyższe wymagania infrastrukturze sieciowej - rośnie zapotrzebowanie na pasmo, zaostrzane są normy bezpieczeństwa. Wreszcie, coraz trudniej zapanować nad tym, co z czym się komunikuje, gdzie i dlaczego.

Dla specjalisty ds. bezpieczeństwa najważniejsze jest dążenie do wykrywania nowych zagrożeń oraz takich, które przebijały się przez tradycyjne mechanizmy ochronne. "Sieciowiec" ma trochę inne priorytety. Jego interesują przede wszystkim: wgląd w trendy, informacje statystyczne i charakterystyka ruchu w sieci, począwszy od ogólnego obrazu, a na szczegółowych informacjach o powiązaniach pomiędzy usługami skończywszy. Rozwiązania NBA to swoisty mariaż bezpieczeństwa i typowej sieciówki, pozwalający na nawiązanie nici porozumienia pomiędzy działami, które na co dzień korzystają z bądź co bądź dość odmiennych narzędzi. Wspólny mianownik dostrzegła także firma badawcza Yankee Group, która w jednym ze swoich raportów plasuje produkty NBA pomiędzy narzędziami do zarządzania siecią a produktami związanymi z bezpieczeństwem.

Czy to to samo?

Stosuje się dwa pojęcia na określenie w zasadzie tej samej grupy narzędzi: NBA (Network Behavior Analysis) oraz NBAD (Network Behavior Anomaly Detection). Co do zasady przyjmuje się, że NBA jest pojęciem szerszym i określa system, który jest w stanie spojrzeć na zachowanie sieci całościowo. Natomiast NBAD to taka część systemu NBA, której głównym obszarem zainteresowań jest bezpieczeństwo.

Wykrywanie anomalii w sieci

Wdrożenie NBA w sieci

Niektórzy używają obu terminów zamiennie, choć częściej stosuje się termin NBA. Bez względu jednak na nazwę, podstawowym zadaniem tego typu rozwiązań jest rozpoznawanie wszelkich zachowań w ruchu sieciowym odbiegających od wcześniej ustalonego wzorca i podjęcie na tej podstawie określonych działań. Aby było to możliwe, NBA musi śledzić charakterystykę ruchu sieciowego w czasie rzeczywistym (lub bliskim rzeczywistego).

Z punktu widzenia bezpieczeństwa, NBA może być traktowany jako uzupełnienie tradycyjnych systemów ochronnych. Ponieważ nie jest oparty na żadnych sygnaturach, a jedynie na analizie behawioralnej, pozwala na wykrycie wielu zagrożeń, które "manifestują" swoją obecność określonymi zachowaniami w sieci - często ataków zero-day. Jesteśmy więc w stanie wykrywać np. aktywność robaków, konie trojańskie, ataki DoS, skanowania sieci. W razie wykrycia robaka czy replikacji wirusa możemy wyśledzić, gdzie pojawiło się zagrożenie po raz pierwszy i skąd przyszło. Ewidentną korzyścią posiadania systemu NBA jest wykrywanie ukierunkowanych, rozłożonych w czasie ataków, tzw. low and slow; IPS-y mają problemy z wykrywaniem tego typu zagrożeń. Możemy również błyskawicznie zorientować się, czy w naszym środowisku nie pojawiła się przypadkiem nowa usługa, np. nowy serwer WWW w DMZ, czy nowy, nieznany do tej pory host. Bardzo łatwo namierzyć użytkowników P2P, torrentów i innych niedozwolonych polityką firmy aplikacji obciążających sieć. Łatwiej także wskazać konkretnego winowajcę. Ponadto jesteśmy w stanie wychwycić budzące niepokój interakcje między systemami. Jeżeli np. nigdy nie odnotowano połączenia między serwerem FTP a systemem SAP, to NBA poinformuje nas o tym fakcie.


TOP 200