Analýza síťového provozu byla vždy základem při řešení problémů na počítačových sítích.
Stále větší váhu ale získává při detekci a řešení bezpečnostních incidentů a při obraně bezpečnostního perimetru. Důvody jsou zřejmé a přirozené. Aktivita útočníků v kybernetickém prostoru se každým rokem zvyšuje o desítky procent. Od víceméně nahodilých útoků se trend jednoznačně obrací k útokům cíleným. Zaměřeným na ovládnutí výpočetního výkonu pro těžbu kryptoměn na zařízeních obětí, krádeže duševního vlastnictví nebo digitálních identit.
Hlavní úkol analýzy síťového provozu – zvyšování bezpečnosti
Analýza síťového provozu je klíčová pro zavedení procesu zvyšování bezpečnosti. Tvoří informační základ pro vyhledávání bezpečnostních problémů, a to včetně některých typů zranitelností.
Pro takto zaměřenou analýzu síťového provozu vyvinula společnost Stamus Networks IDS/IPS/NSM systém Suricata pod svobodnou licencí GPLv3.
Nástroj analýzy síťového provozu – IDS/IPS/NSM Suricata
IDS Suricata je připraven na analýzu síťového provozu se zaměřením na bezpečnost. Prostřednictvím signatur získáte kompletní přehled o provozu ve sledovaném bodě.
Pokud ale píši, že je IDS Suricata na analýzu síťového provozu připravena, neznamená to, že její korektní zprovoznění je triviální záležitostí. Instalace a nastavení sondy Suricata vyžaduje zkušeného odborníka na operační systém Linux.
Správné vyhodnocení nálezů a jejich popis pro potřeby managementu a správců systémů, kteří nemají speciální znalosti z oblasti bezpečnosti, vyžaduje odborníka na počítačovou bezpečnost.
Vyhodnocení a dokumentace výsledků analýzy síťového provozu
Vyhodnocení a dokumentace nalezených problémů je velice důležitou oblastí.
- Pokud management nepochopí výstup z analýzy síťového provozu, nedokáže na jeho základě řídit procesy, které mají vést k opatřením na zvýšení bezpečnosti.
- Pokud výstup z analýzy síťového provozu správně nepochopí správci dotčených systémů, budou mít tendenci problémy podceňovat, ignorovat nebo dokonce proti „pachatelům analýzy“ začnou vést válku.
Komunikace skupin pracovníků IT
Z hlediska bezpečnosti společnosti je důležité, aby role správce systémů a odborníku provádějících analýzu síťového provozu byla personálně oddělena. Dobrá komunikace těchto skupin je pro správné využití výsledků analýzy síťového provozu klíčová.
Problémem často bývá, že pro tyto dvě skupiny specialistů je velice snadné se dostat do vzájemného konfliktu v důsledku špatné komunikace.
Z vlastní praxe vím, že největším problémem často není zvládnout úkoly analýzy síťového provozu technicky, ale přesvědčit místní pracovníky z oddělení informačních technologií, že
- cílem není hledat v jejich práci chyby
- cílem není připravit je o práci
- úmyslem není ani proti nim uplatňovat technickou převahu ve specifické oblasti kybernetické bezpečnosti
Cíle analýzy síťového provozu
Cíle analýzy síťového provozu jsou zejména
- poskytnout managementu použitelný základ pro smysluplné řízení bezpečnosti
- umožnit správcům zvýšit bezpečnost jimi provozovaných systémů
- výše uvedenými body zajistit zabezpečení duševního vlastnictví společnosti
Optimální výsledky poskytované řízením bezpečnosti je možné očekávat pouze tehdy, pokud spolu management, správci systémů a analytici síťového provozu dokáží spolupracovat na procesech zlepšování bezpečnosti.
Použité zkratky
IDS
Systém detekce napadení (Intrusion Detection System)
IPS
Systém prevence napadení (Intrusion Prevention System)
NSM
Systém bezpečnostního monitoringu sítě (Network Security Monitoring)