Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Технология поведенческого анализа потоков в корпоративной сети

Джон Г. Сойер

При разработке плана обороны вашей сети всегда полезно знать намерения вашего противника. Но проблема заключается в том, что сетевые угрозы, с которыми сталкиваются ИТ-специалисты, могут иметь довольно разный характер и исходить из самых разных источников — начиная от обычных хакеров-хулиганов и криминальных организаций и заканчивая собственными сотрудниками, обиженными на свою компанию. Возможные же направления атак еще более непредсказуемы.

В то же время системы обнаружения вторжений (Intrusion-Detection Systems — IDS) и их предотвращения (Intrusion-Prevention Systems — IPS), используемые многими организациями с целью отражения многочисленных угроз, страдают тем же самым недостатком, который уже долгие годы снижает надежность антивирусных средств, заключающийся в том, что в своей работе они опираются главным образом на статические сигнатуры.

Разработчики антивирусных продуктов уже давно поняли: чтобы оставаться конкурентоспособными, нужно разрабатывать методы, позволяющие их средствам идентифицировать подозрительный трафик, даже если прежде они не сталкивались с образцами подобного трафика, порожденного несанкционированными действиями. Ответом на проблему стала разработка эвристических и поведенческих методов анализа, которые дают возможность обнаруживать файлы и процессы, содержащие признаки потенциальной угрозы.

Полную версию данной статьи смотрите в 13-м номере журнала за 2008 год.

В области сетевой безопасности исследователи и поставщики, например, такие, как компании Lancope и Mazu Networks, разработали системы, использующие принцип не сигнатурного, а поведенческого анализа. За последние несколько лет средства этого класса перестали быть уникальными и обособленными продуктами. При этом их наименование менялось уже не один раз: вначале они обозначались аббревиатурой NBAD (Network Behavior Analysis and Detec-tion), позднее — NADS (Network Anomaly Detection Systems), и наконец установилось обозначение NBA (Network Behavior Analysis).

По существу, разработчики добавили к системе обнаружения вторжений недостающее звено — детектирование опасности на базе поведенческого анализа, реализовав то, что поставщики антивирусных продуктов сочли необходимым сделать еще более десятилетия назад.

Организации могут извлечь существенные выгоды от реализации концепции NBA, поскольку большинство из них пропускают представляющие интерес события из-за перегруженности сети или недостаточной ее прозрачности. Но следует понимать, что, как и всякий продукт, который тесно взаимодействует с вашей сетью и влияет на ее безопасность, система NBA требует тщательной настройки на уже существующую информационную инфраструктуру.

С целью помочь вам обеспечить интеграцию выбранного NBA-продукта с существующими IDS, сканнером уязвимых мест, а также с диспетчером событий и инцидентов (SIEM — Security Incident and Event Manager) при заданных возможностях по пропускной способности журнал InformationWeek приступил к долгосрочному исследованию этого типа продуктов. С результатами данного исследования мы будем периодически вас знакомить.

Расчистка плацдарма

Поставщики, занимающиеся исключительно тематикой NBA, первоначально делали упор на сетевую безопасность, поскольку имели высокую квалификацию именно в этой области. После того как формировался определенный «базовый» характер поведения системы, отвечающий представлениям о нормальном поведении сети, они могли обнаруживать в ней все, что можно было считать аномальной активностью. Например, предположим, что настольный ПК, с которого ежедневно осуществляется обычная работа с Интернетом через веб-браузер, вдруг обращается к определенным файлам общего доступа во внутренней сети или порождает трафик электронной почты с приемом данных через временный TCP-порт 65500, либо начинает обмен информацией по UDP-порту 17028 с сотнями внешних компьютеров, разбросанных по всему миру. В этом случае система NBA отправит по электронной почте сообщение сотрудникам группы обеспечения безопасно-сти, привлекающее их внимание к такому внезапному изменению ситуации, а может быть, даже задействует для блокирования межсетевой экран путем коррекции таблицы управления доступом или отключит соответствующий порт коммутатора, чтобы предотвратить возможный ущерб.

Поскольку система NBA должна быть вплоть до отдельных деталей настроена на особенности трафика организации, естественным для поставщиков решением является применение функций мониторинга производительности сети — от простейших возможностей типа выявления наиболее «разговорчивых» узлов до самых развитых — сбора расширенной информации, которая может оказаться полезной и для планирования самой сети.

По существу, именно благодаря этим функциям поставщики NBA и берут на себя смелость обещать специалистам по сетям и безопасности ту глубину информированности, которой они раньше не располагали. Речь при этом идет даже об уведомлении специалистов ИТ-службы о появлении в сети новых хост-компьютеров, а также о возможности выявлять узкие места в сети и определять принадлежность потоков трафика тем или иным пользователям.

Почувствовав возможность экспансии в перспективную область, разработчики средств контроля производительности сетей, в том числе компания NetQoS, активно наращивают свои продукты функциями NBA. В то время как отдельные специалисты и компании, занимающиеся проблемой сетевой безопасности, позиционируют NBA в качестве части всеохватывающей стратегии обеспечения безопасности, поставщики средств контроля производительности пропагандируют данную технологию как естественное расширение возможностей давно выпускаемых систем администрирования сетей.

Вне зависимости от того, какая точка зрения возобладает, ИТ-службы организаций выиграют: более жесткая конкуренция среди разнородных поставщиков на рынке NBA означает, что данная технология обогатится новыми функциональными возможностями, а цены на продукты снизятся.

Правила игры

Для того чтобы NBA-продукты могли успешно работать, они должны иметь доступ к сетевому трафику — либо путем сбора информации о потоках данных, либо за счет прямого перехвата пакетов данных. Информацию о сетевых потоках лучше всего можно описать как некоторые метаданные об однонаправленных последовательностях пакетов, включающие такие параметры, как временные метки (time stamps) начала и окончания потока, количество байтов и пакетов, составляющих поток, IP-адреса источника и получателя, порты, на которые поступает и с которых отправляются пакеты, флаги-признаки протокола управления передачей TCP (если это актуально) и т. п. Существует несколько форматов представления данных о сетевых пото-ках. Главными из них являются следующие: NetFlow, SFlow и IPFIX. Все они базируются на версии NetFlow 9 фирмы Cisco и поддерживаются ведущими поставщиками NBA.

NBA-продукты играют роль сборщиков, которые получают данные о сетевых потоках от коммутаторов и маршрутизаторов и перерабатывают их в аналитические результаты. В случае прямого перехвата пакетов система NBA забирает сетевой трафик непосредственно от коммутатора или маршрутизатора, пользуясь либо зеркальным SPAN-портом, либо специальным сетевым ответвителем. Более развитые NBA-системы могут также обеспечивать более глубокий анализ захваченных пакетов и таким образом индицировать те атаки, которые не поддаются выявлению по результатам мониторинга только данных о сетевых потоках. Этот метод позволяет также выявлять несанкционированные приложения, которые могут «подсаживаться» (piggy-back) на порт обычного приложения.

Центральным, основополагающим элементом системы NBA является модуль описания «нормального» поведения сети. И несмотря на то что эти системы также используют методы сигнатурного анализа, они тем не менее все больше делают упор на сканирование сети, выявление нештатного поведения приложений и обнаружение сетевых червей. Поставщики NBA-продуктов хорошо понимают желание заказчиков начать получать информацию сразу же после инсталляции только что купленного продукта, поэтому свои решения они снабжают уже какими-то ранее заготовленными образцами поведения систем. Однако система начинает работать в полную силу только когда в ней накапливается информация, описывающая нормальное поведение конкретной сети, в которой она установлена. Но на это уходит довольно много времени — от нескольких суток до недели.

План игры

Возникает вопрос: стоит ли применять NBA в организациях, которые уже внедрили системы IDS/IPS, развернув их в своих штаб-квартирах и филиальных офисах, установили межсетевые экраны по периметру сети, а возможно даже и вокруг своего ЦОДа и имеют диспетчер SIEM, оповещающий их обо всем, что происходит в их ИТ-инфраструктуре? Краткий ответ: «Да». Система NBA способна дать законченную картину сети, заполнив пробелы, оставленные другими системами обеспечения безопасности, а именно: предоставлять сведения о взаимосвязях между хостами сети (какие из них являются клиентами, а какие серверами); предупреждать о нарушениях правил безопасности, например, о несанкционированном обращении к функции однорангового совместного использования файлов, т. п.

При таком уровне сетевого контроля у администратора появляется возможность ужесточить существующие правила, устанавливающие, что можно, а чего нельзя делать в корпоративной сети, включая правила пользования системой мгновенного обмена сообщениями и одноранговыми соединениями. Кроме того, технология NBA поможет в контроле соблюдения требований со стороны бизнеса организации и регулирующих органов, предписывающих проводить мониторинг и отслеживание происходящего в сети вплоть до работы каждого отдельного пользователя.

Чтобы обеспечить выполнение подобных требований, NBA-продукты, помимо поддержки серверов DHCP и DNS, могут обращаться к корпоративным справочникам, таким, как LDAP или Active Directory. Наличие идентифицирующей информации создает условия для реализации еще более жестких правил, основанных на ролевых функциях отдельных пользователей. Примером такой ситуации может служить попытка с учетной записи подрядчика обратиться к части сети, занимающейся обработкой конфиденциальной информации..

  
13 '2008
СОДЕРЖАНИЕ

бизнес

• Новинки Nexans для ЦОДов

инфраструктура

• Современные технические решения для ЦОДов: инженерные системы

• Дедупликация данных оптимизирует использование дисковой памяти и сетевых каналов

• Спецификация MicroTCA — системный стандарт широкого профиля

• Перелом на рынке БЛВС

• «Интеллект» в здании

информационные системы

• Проблемы развития OC Linux

• Технология поведенческого анализа потоков в корпоративной сети

• Услуги SaaS на пороге большого пути

сети связи

• Поддержание климатических параметров на телекоммуникационных объектах

• Сети PON сегодня и завтра

защита данных

• Управление рисками как дисциплина

• Продуманная защита

кабельные системы

• Да не подмочит вода репутацию промышленного кабеля


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх