Monitoring bezpieczeństwa jest zautomatyzowanym procesem zbierania i analizowania czynników świadczących o ewentualnych zagrożeniach dla bezpieczeństwa Także reagowania na nie za pomocą odpowiednich działań. Technologie ewoluują, złożoność sieci wzrasta, a sieci przedsiębiorstw stale się rozrastają. W związku z tym zespoły odpowiedzialne za operacje sieciowe i bezpieczeństwo mają coraz więcej pracy i obowiązków. Szcególnie w zakresie dbania o ogólny stan, wydajność i ochronę infrastruktury.
Na pierwszy rzut oka działania związane z siecią i bezpieczeństwem mogą wyglądać podobnie lub przynajmniej częściowo się pokrywać. Jednakże te funkcjonalności i narzędzia służą do różnych (i istotnych) celów w organizacji.
Kontrola sieci
Celem monitoringu sieci jest analiza i śledzenie stanu technicznego sieci organizacji. Kontrola sieci wykrywa problemy powodowane przez nieprawidłowo działające urządzenia. Są to serwery, przeciążone zasoby, zapory sieciowe i maszyny wirtualne (VM). Działy operacyjne sieci muszą rozumieć jej topologię, konfiguracje, wydajność i bezpieczeństwo. Małe firmy mogą niekiedy poradzić sobie z infrastrukturą i monitorowaniem w chmurze, bez potrzeby całkowitego zrozumienia technologii bazowej. Jednak infrastruktura większych organizacji składa się z licznych elementów, takich jak chmury hybrydowe, a nawet infrastruktura typu bare metal. To ona często obejmuje wiele lokalizacji i wykorzystuje różne technologie. Sprawia to, że monitorowanie sieci jest ważniejsze i bardziej złożone niż dotychczas.
Szereg technologii monitorowania sieci pozwala na uzyskanie przejrzystości sieci i aplikacji w ujęciu end-to-end. Monitoring sieci jest realizowany za pośrednictwem zestawu narzędzi, takich jak NMS/EMS. Dzieje się to też za pomocą dedykowanych aplikacji, takich jak monitoring aplikacji, oraz narzędzi diagnostycznych i do rozwiązywania problemów. Proaktywne monitorowanie sieci jest zasadniczym elementem procesu jej monitoringu, który pomaga we wczesnym wykrywaniu błędów w wydajności. Służy to zapobieganiu awariom i przestojom sieci. Osiąga się to zwykle za pomocą prognozy algorytmów łączących dane o usterkach, wydajności i konfiguracji, które w dzisiejszych czasach zasilają algorytmy za pomocą AI/ML.
Nadzór nad bezpieczeństwem
Monitoring Bezpieczeństwa Sieci, a w szczególności XDR (Extended Detection and Response), jest instrumentem wykrywania zagrożeń bezpieczeństwa i reagowania na zdarzenia, a nie jedynie pasywną obserwacją. SIEM może być elementem tego procesu lub też może być wykorzystany jako wsparcie dla monitorowania zarówno sieci jak i bezpieczeństwa.
Podczas gdy monitorowanie sieci gromadzi dane do analizy kondycji sieci i aplikacji oraz ogólnej struktury i integralności systemu, to monitorowanie zabezpieczeń sieci analizuje m.in:
- Sygnalizację sieciową
- Obciążenie użytkowe sieci
- Stosowane protokoły
- Komunikację klient-serwer
- Szyfrowane sesje ruchu
- Wzorce ruchu i przepływ ruchu
- Detekcję anomalii
- Prywatność, spójność i dostępność sieci (triada CIA)
W odróżnieniu od tradycyjnego monitorowania sieci, kontrola bezpieczeństwa sieci zapewnia możliwość podejmowania decyzji na podstawie dowodów przez wykrywanie włamań, na przykład podatności typu zero-day. Pojawienie się współczesnych technologii nieustannego monitorowania i analizy sieci umożliwia wykrywanie i łagodzenie skutków ataków, co może znacząco obniżyć ryzyko udanego ataku lub naruszenia.
Analiza pakietów NetFlow
W coraz większej liczbie przypadków ataków jedynym sposobem na jego wykrycie jest analiza pakietów i wzorców ruchu. Zastosowanie takiego podejścia powoduje duże wykorzystanie pasma i wymaga posiadania narzędzi o dużej pojemności i wydajności. Z tego powodu wiele narzędzi albo konwertuje pakiety do plików PCAP w celu ich analizy, albo używa zastępczo wygenerowanych metryk NetFlow, IPFIX lub podobnych typów przepływów. Na rynku dostępne są również produkty, które dodatkowo kompresują NetFlow/IPFIX, aby zredukować wymagania sprzętowe na etapie analityki. Czy wymagane są szczegółowe, granularne dane? Czy wystarczą dane zagregowane lub skompresowane? To jest zależne od narzędzia i przypadku użycia, ale często pełna kontrola bezpieczeństwa wymaga surowych informacji o pakietach.
NetFlow powstaje w module sieciowym lub za pomocą urządzenia konwertującego pakiety na NetFlow, jest buforowany i przechowywany, przepływy są następnie eksportowane do kolektora, który odbiera i wstępnie przetwarza dane. Po uśpieniu przepływu lub upływie określonego czasu, urządzenie eksportuje rekordy przepływu do kolektora przepływów. Analizator przepływów dostarcza dalszych informacji poprzez wizualizację, statystyki oraz raportowanie w czasie rzeczywistym i historycznym. Kolektory i analizatory są często połączone w większy system monitorowania sieci.
Do czego firmom potrzebny jest monitoring sieci i bezpieczeństwa?
Monitorowanie sieci jest kluczowe dla zapewnienia widoczności i kontroli nad siecią, optymalizacji wydajności i rzetelności sieci, poprawy wyników finansowych, zrozumienia obecnej i przyszłej przepustowości i wreszcie zapewnienia zgodności z przepisami korporacyjnymi. Automatyzacja stała się jednym z najważniejszych czynników w monitorowaniu sieci ze względu na rosnącą złożoność i liczbę elementów. Działania manualne są po prostu zbyt powolne, podatne na błędy i wymagają zbyt dużej siły roboczej.
Monitoring sieci, skupia się na zrozumieniu kompozycji, osiągalności, statusu, zachowania, wydajności i konfiguracji wszelkich komponentów w ramach infrastruktury. Aktywnie bada również dostępność i przystępność hostów IP do oceny. Samo monitorowanie sieci nie jest przeznaczone do zarządzania bezpieczeństwem, dlatego też konieczny jest zestaw narzędzi do zarządzania bezpieczeństwem, albo jako zintegrowane narzędzie, albo jako oddzielne, ale połączone aplikacje.
Monitorowanie bezpieczeństwa sieci ma na celu zminimalizowanie przestojów poprzez zapobieganie atakom i zachowanie danych w celu utrzymania działalności organizacji. Poprzez połączenie ataku i pasywnego monitorowania bezpieczeństwa oraz automatyzację procesów w jak największym stopniu, organizacje mogą chronić się przed zagrożeniami sieciowymi i identyfikować napastników.
Wspólne monitorowanie sieci i bezpieczeństwa zapewnia kompleksowe informacje, analizy i raporty:
- Umożliwiają one pracownikom zarówno działu operacji sieciowych, jak i bezpieczeństwa sieciowego zbieranie, filtrowanie i dopracowywanie dochodzeń w celu identyfikacji problemów
- Określają, czy zdarzenie jest normalnym procesem sieciowym, czy złośliwym/ zakłócającym działanie
- Zapewniają nieustanne, wiarygodne pozyskiwanie danych w czasie rzeczywistym w celu wydobycia kluczowych informacji na temat stanu technicznego i bezpieczeństwa sieci.
- Wdrażają aktywne narzędzia testowe do badania istotnych funkcji sieciowych.
- Umożliwiają automatyzację i standaryzację procedur zgłaszania problemów.
Cubro Network Packet Broker EX48200
- TAP jest samodzielnym urządzeniem, które odwzorowuje pakiety tworząc dokładną kopię ruchu gwarantując pełną przejrzystość dla wszystkich platform bezpieczeństwa i monitoringu sieci.
- NPB służy do optymalizacji ruchu pomiędzy TAP a platformami monitorującymi. NPB, określany również jako Traffic Aggregator, usprawnia funkcjonalność narzędzi do analizy i bezpieczeństwa sieci oraz przyczynia się do optymalizacji bezpieczeństwa sieci i wydajności narzędzi monitorujących i analizujących poprzez dekapsulację pakietów w protokołach tunelowych, cięcie pakietów w razie potrzeby, agregację, filtrowanie, powielanie i równoważenie obciążenia.
- Zaawansowane NPB generują pliki NetFlow/IPFIX, PCAP dla danego okresu czasu i umożliwiają uzyskanie podstawowego wglądu w bezpieczeństwo.
Podczas gdy monitoring sieci radzi sobie z wykorzystaniem informacji otrzymywanych z elementów sieci, wiele innych narzędzi żąda informacji o pakietach. To właśnie tutaj wgląd w sieć staje się kluczowa, ponieważ bez tappingu i NPB informacja z sieci nie jest kompletna, a nawet użyteczna. NPB pełnią ponadto istotną rolę w optymalizacji, redukcji i formatowaniu danych dla narzędzia monitorującego, zmniejszając tym samym potrzeby inwestycyjne.