Na redakční otázky odpovídal Pavel Minařík, Chief Technology Officer, AdvaICT

1) Které parametry provozu sítě je z hlediska bezpečnosti smysluplné sledovat – a proč?

Při sledování provozu na síti jsou de facto tři možnosti. První je sběr sumárních údajů o celkových objemech provozu na rozhraních, počtech přenesených datových rámců apod. běžné získávané technologií SNMP. Druhou možností je detailní inspekce každého packetu, který sítí prochází s cílem odhalit některou ze známých hrozeb. Zatímco první postup bezpečnosti příliš nepomůže, druhý je v současných vysokorychlostních sítích těžko aplikovatelný. Navíc je schopen odhalit jen známé hrozby, neporadí si s šifrovaným provozem a naráží na legislativní bariéry. Vhodným kompromisem je tzv. behaviorální analýza využívající monitoring na 3. a 4. síťové vrstvě, jehož výsledkem jsou sumarizované údaje o jednotlivých spojeních, tzv. NetFlow data. Nejedná se o žádnou proprietální technologii, jde o standard definovaný společností Cisco před více než 10 lety. NetFlow data si lze zejdnodušeně představit jako výpis telefonních hovorů, víte, kdo se s kým bavil, kdy a jak dlouho, obsah rozhovoru je však utajen. Tento přístup je odolný vůči šifrované komunikaci, aplikovatelný i ve vysokorychlostních sítích a vypovídající schopnost naměřených dat je, jak uvidíme dále, vysoká.

2) Co všechno můžeme z monitorování sítí a provozu z bezpečnostního hlediska vyčíst?

Data o jednotlivých spojeních na síti, tzv. NetFlow data, je možné získat prostřednictvím pokročilých routerů a switchů nebo prostřednictvím specializovaných síťových sond, které v České republice vyrábí a prodává společnost INVEA-TECH pod značkou FlowMon. NetFlow data dokumentují veškerou činnost daného zařízení (identifikovaného IP adresou) na síti na úrovni využívání a poskytování služeb včetně technických parametrů, vše podstatné je tedy v NetFlow datech. Pro jejich analýzu a zpracování potřebujeme expertní znalosti a spoustu analytiků nebo vhodné nástroje umožňující automatickou analýzu a vyhodnocení provozu na síti. Mezi dostupné nástroje pro analýzu a vyhodnocení provozu na síti patří rodina produktů ADS společnosti AdvaICT, konkrétně jde o plug&play řešení FlowMon ADS a jeho pokročileší customizovatelnou variantu MyNetScope ADS. A co můžeme od takového produktu očekávat z bezpečnostního hlediska? Jde o širokou škálu detekcí od bežných nežádoucích aktivit typu skenování sítě, slovníkové útoky, útoky typu denial of service, útoky na aplikační protokoly, přes aktivity peer-to-peer sítí až po spyware, viry nebo botnet sítě. Tím však možnosti nekončí, řešení založené na monitoringu datových toků může pomoci při odhalování nežádoucích aplikací, špatně nakonfigurovaných zařízení, využívání anonymizačních služeb v síti internet, uživatelů, kteří nejvíce vytěžují síť, nebo dokonce identifikovat zdroj zpoždění na síti.

3) Mají dnes ještě nějaký smysl nástroje IDS nebo již byly překonány IPS a pokročilejšími systémy?

Mezi systémy IDS/IPS velké rozdíly nehledejte, neexistuje žádná exaktní definice, žádná jasná kritéria, která by stanovila, zda se jedná ještě o IDS nebo už jde o IPS. Moderní řešení ochrany před kybernetickými hrozbami musí dnes nabídnout mnohem více. Zajištění bezpečnosti a ochrany sítě je proces skládající se z permanentního monitoringu datové sítě, automatické analýzy a vyhodnocení provozu, vyhodnocení varování a eskalace incidentů a konečně jejich řešení, evidence a dokumentace. Každý z těchto kroků musí být podpořen vhodnými technologiemi, které dohromady tvoří kompatní řešení s jasným přínosem pro zákazníka. Systémy IDS/IPS jsou tedy jedním dílkem skládačky.

4) Jakou úspěšnost mají dnešní systémy IPS v případě nových nebo netypických útoků?

To je velmi komplikovaná otázka. Každý výrobce bude tvrdit, že právě jeho systém má vysokou úspěšnost. Nejdůležitějším kritériem je celková koncepce a filozofie nástroje. Systémy spoléhající se na statistické metody odhalování anomálií nejsou schopny zachytit cílené útoky, které se na síti masivně neprojevují. Na druhou stranu jsou tyto systémy použitelné i na vysokorychlostních páteřních linkách. Jiný přístup představuje behaviorální analýza, která podrobně analyzuje jednotlivá spojení ve vzájemných souvislostech a umožňuje tak odhalit i sofistikované a cílené útoky. Obecně lze říci, že čím více hodnotících kritérií provozu daný nástroj používá, tím je při detekcích uspěšnější, ale taky pomalejší.

5) Jak použít monitorování sítě k zajištění bezpečnosti? Jak síť rozdělit, jaké prvky nasadit?

Topologie sítě je většinou dána historickým vývojem, stejně jako nasazené prvky. Naším úkolem není přijít k zákazníkovi a oznámit mu, že co má může vyhodit a připravit se na několikamiliónovou investici. Právě naopak, naším úkolem je ochránit jeho stávající investice, proto musí být systém bezpečnostního monitoringu sítě aplikovatelný v libovolném prostředí a dobře škálovatelný. Ve stávajících firemních prostředích najdeme firewally, antiviry, IDS/IPS systémy, systémy řízení přístupu nebo správy identit, SNMP dohled apod., které řeší dílčí problémy z oblasti bezpečnosti. S produkty pro bezpečnostní monitoring sítě (Network Security Monitoring – NSM) společnosti AdvaICT je však vždy možné stávající prostředí rozšířit a doplnit o komplexní pohled na provoz v datové síti.

Bezpečnostní monitoring sítě jako prostředek ochrany funguje. Tuto zkušenost nám opakovaně potvrzují naši zákazníci, prvním efektem nasazení je typicky odhalení infikovaných počítačů, porušování bezpečnostních politik a samozřejmě větší ukázněnost uživatelů dané sítě.

IDS/IPS