Pokročilé monitorování síťového provozu

Historie auditu zaměřeného na síťový provoz je relativně krátká, provádí se přibližně tři roky. Začala spolu s rozvojem nástrojů pro monitoring provozu v sítích, které umožňují sbírat informace o tom, jaký druh provozu a v jakém objemu se v síti objevuje. Pravý rozmach ale přichází až s nástupem nástrojů pro automatickou analýzu těchto informací, především pro behaviorální analýzu sítě (Network Behavior Analysis, NBA). A právě využití této technologie je největší přidanou hodnotou auditu provozu v síti oproti běžným IT auditům.

Z výzkumu pro US Army inovační technologie pro firmy
Behaviorální analýzu sítě dosud používaly především velké společnosti v USA zejména z důvodu pracnosti jejího nasazení (průměrně tři měsíce). Ve světě tuto technologii poskytuje zatím 6 společností, z toho 5 amerických. V Česku byla NBA prvně nasazena v roce 2009 ve formě „odlehčeného“ řešení dostupného i pro menší organizace. Řešení vyvinul vývojový tým z Brna na základě předchozího výzkumu pro americkou armádu. Loni brněnští vývojáři z firmy AdvaICT otevřeli v USA i pobočku, která se chce na tamním trhu zaměřit zejména na firmy s okolo 100 až 2000 počítači.
Inovací české technologie je rychlost a nenáročnost nasazení do sítě, které podle reálných zkušeností zákazníků trvá zhruba jednu až dvě hodiny. První výstupy má firma k dispozici ihned. Právě rychlost nasazení umožňuje využívat NBA pro jednorázové služby auditu provozu v síti.

Audit provozu datové sítě
Audit je postaven na analýze provozu, který se v síti skutečně vyskytuje. Z tohoto pohledu hodnotí stav sítě a způsob práce s ní bez ohledu na používané nástroje, směrnice či bezpečnostní politiky. Popisuje tak nejen stav sítě a jejích bezpečnostních prvků, ale nepřímo i pracovní morálku zaměstnanců nebo dodržování SLA (service level agreement - dohoda o úrovni poskytovaných služeb) ze strany poskytovatele připojení k internetu.
U nalezených incidentů či problémů poskytuje přesné podklady pro jejich řešení. „Jde například o výpadky služeb, přetížení nebo skenování sítě, externí přístupy, využívání P2P sítí, šíření malwaru nebo odesílání spamu. Takto detekované incidenty lze vyřešit dříve, než ovlivní chod celé organizace a eskalují jako problémy v IT na úroveň nejvyššího managementu,“ říká Pavel Minařík, ředitel vývoje společnosti AdvaICT. Dalším krokem na základě odhalených útoků je nastavení prostředí tak, aby se již nemohly opakovat.
Výstupy auditu provozu sítě mohou sloužit jako podklad při plánované restrukturalizaci sítě, či jako nezávislá kontrola existující správy sítě. Audit je také vhodný jako první krok na cestě k trvalému monitoringu a analýze sítě. Své zkušenosti s kontrolou sítě má i Tomáš Bula, network manager společnosti Gumotex. "Služba analýzy síťového provozu prokázala vysokou kvalitu naší síťové infrastruktury včetně příslušných procesů správy sítě. Díky auditu jsme získali argument při vyvracení domněnky, že některé problémy při implementaci nového IS mohou být způsobeny chybami v počítačové síti, což bylo několikrát avizováno dodavatelskou firmou."

Jednoduchá aplikace
Audit provozu v síti je nastaven tak, aby nenarušoval současnou ICT infrastrukturu. Při auditu nedochází k úniku citlivých informací z vnitřní sítě ani ke zpomalení provozu v síti.
Podle Minaříka lze audit zrealizovat i bez vzdáleného přístupu k používanému zařízení. Všechna data získaná v průběhu monitoringu sítě jsou při ukončení auditu nenávratně smazána nebo předána příslušné firmě.
Audit provozu sítě je také obvykle navržen tak, aby byl nenáročný na součinnost. Firma nemusí provádět žádné expertní úkony. Poskytuje pouze základní informace o topologii sítě a asistenci při zapojování zařízení do sítě a následném odpojení po ukončení auditu.
Součinnost technických pracovníků, nutná pro realizaci auditu, je typicky do čtyř hodin. Vladislav Kovář, asistent pro informatiku generálního ředitele společnosti Teplárny Brno, která auditem provozu datové sítě prošla, to komentuje: „Systém najde využití i u zákazníků, kteří se neřadí mezi síťové specialisty, protože odstiňuje uživatele od vlastních analyzovaných dat a poskytuje přehledné konsolidované informace s požadovanou podrobností. Podle něho je implementace systému pro audit provozu datové sítě jednoduchá, rychlá a žádným způsobem neovlivňuje provoz ve firemní síti.

Přínosy auditu
V situaci neustálého zvyšování objemu přenášených dat, na kterou organizace nejčastěji reagují nákupem výkonnějších síťových prvků a pořízením rychlejšího připojení k internetu, však nejhmatatelnější úsporu generuje popsání struktury provozu a upozornění na část, kterou je možné omezit (například sdílení hudby a prohlížení videí na internetu), a tím zbytečné výdaje eliminovat. Ruku v ruce s touto úsporou jde také zvýšení produktivity na straně zaměstnanců. Ti při vědomí, že může být kdykoliv provedena kontrola jejich činnosti, obvykle nežádoucí aktivity omezují a více se věnují své práci.
„Trvalé nasazení NBA řešení v datových sítích považuji za maximálně přínosné z důvodů převzetí absolutní kontroly nad děním v datové síti a možnosti proaktivního řešení případných incidentů a potenciálních rizik,“ komentuje Kovář.

Mýty o bezpečnosti firemní sítě
Další otázkou je vnitřní bezpečnost. Firmy, které mají infrastrukturu navrženou podle doporučených pravidel a postupů, včetně ochrany perimetru a důsledné antivirové kontroly, si jsou až příliš často jisty svou bezpečností.
Typickým výstupem auditu v tomto případě bývá identifikace infikovaných zařízení, která se snaží rozesílat spam, nebo porušování bezpečnostní politiky používáním služeb jako ICQ nebo Rapidshare. Dalším příkladem odhaleného incidentu může být masivní používání služeb pro sdílení multimediálních dat (BitTorrent) a internetových úschoven ve firmě, která je existenciálně závislá na uchování průběžně vytvářeného duševního vlastnictví.

 

Publikováno: 18. 6. 2012 | Počet zobrazení: 2709 568