Behaviorální analýza počítačové sítě

  • Bezpečnostní monitoring sítě (Network Security Monitoring – NSM) a Behaviorální analýza počítačové sítě (Network Behavior Analysis – NBA) jsou v současné době jedny z nejmodernějších a nejefektivnějších metodik pro odhalování provozních a bezpečnostích problémů v počítačových sítích všech velikostí. I uznávaná poradenská společnost Gartner uvádí, že již není možné spoléhat se pouze na pět až deset let stará řešení (firewall, IDS/IPS, antiviry,…).
  • Systémy založené na těchto technologiích pracují na principu detekce anomálií a nežádoucího chování v datové síti, která je založena na permanentním vyhodnocování statistik o provozu na síti – k této analýze jsou využívány tzv. datové toky (reprezentované průmyslovým standardem NetFlow). Hlavní výhodou proti běžným IDS systémům či SNMP monitoringu je orientace na celkové chování zařízení na síti, což umožňuje administrátorům sítě získat ucelený pohled na celou IT infrastrukturu a reagovat i na dosud neznámé či specifické hrozby v síti.
  • Pro jednoduché přiblížení technologie datových toků lze říci, že datové toky v síti jsou to, co výpis telefonních hovorů v telekomunikacích – v terminologii NetFlow je tok definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje (příznaky spojení a další pole hlaviček přenosových protokolů).

NetFlow

  • Zavedení řešení postaveného na technologii NSM/NBA do sítě je neinvazivní, což v praxi znamená nulový zásah do aktuální topologie. Nemůže tak dojít k žádným problémům jako je latence sítě, výpadky síťových zařízení atd. Pasivní sonda (např. FlowMon ADS nebo NetHound BOX) monitoruje datové toky NetFlow na perimetru nebo v problematické větvi sítě.
  • Zapojení těchto systému je otázkou cca 20 minut.

Podívejte se také na krátkou prezentaci o technologii NetFlow

Jak generovat NetFlow data?

 

Zjistěte, zda umíte generovat NetFlow data v prostředí vaší sítě . Přečtěte si více o možnostech generování NetFlow dat.

O technologii NBA

Všechna naše řešení jsou založena na technologii Network Behavior Analysis (behaviorální analýza počítačové sítě). Přečtěte si více o tom, v čem je tato metoda jedinečná.

Více

Top uživatelé sítě

Víte, že až dvě třetiny z celkového provozu ve vaší síti způsobuje pouze několik uživatelů? Díky profilům chování máte permanentní přehled o top uživatelích a jejich aktivitách ve vaší síti. Top statistiky rovněž pomáhají odhalit infikovaná zařízení nebo uživatele P2P sítí.

Novinky

13. 5. 2012
Alarmující nárůst kybernetických útoků
Americká agentura Federal Emergency Management nedávno publikovala report mapující připravenost amerických společností a vládních organizací v oblasti kybernetické bezpečnosti...
13. 5. 2012
Nová generace FlowMon ADS uvedena na trh
Od května 2012 mají zákazníci společnosti AdvaICT možnost upgradovat své řešení FlowMon ADS na verzi 3 pro automatickou analýzu provozu a detekci anomálií...

Řekli o nás

Pražské vodovody a kanalizace, a.s.

Od fimy AdvaICT nám byla v rámci objednané služby  Network Traffic Audit zapůjčena sonda síťoveho provozu, jejimž hlavním modulem je FlowMon ADS, který je schopen rozlišit nestandardní chovaní v komunikaci po síti. Poté, co jsme nastavili mirroring portu centrálního switche zahrnujících segmenty sítě, které jsme zvolili k analýze, nechali jsme sondu sbírat týden data o síťovém provozu. Již týdenní provoz odhalil některé anomálie, ať už to byl nezvyklý nárůst objemu přenesených dat v krátkém časovém úseku, nebo komunikace některých stanic, či dokonce serverů na nestandardních portech (službách) a jiné nezvyklé chování.

Zde je potřeba říci, že FlowMon ADS má též možnost tzv. "učícího režimu", kdy je možno systém naučit, jaká komunikace je považována za standardní, byť by v základním nastavení byla považována za anomálii, ovšem tuto variantu jsme nestihli v tak krátkém období vyzkoušet.

I tak je zjevné, že FlowMon ADS dokáže být i v základním nastavení schopen smysluplné analýzy síťové komunikace, která může být v prvním kroku dostatečná, ovšem společně s učícím režimem, se může stát z FlowMon ADS skutečně sofistikovaný nástroj k detailní analýze síťového provozu.

Erik Jahn, systémový inženýr