Analiza mrežnog prometa i detekcija anomalija
Sve češća pojava različitih oblika malware-a koji na sve inteligentnije načine uzrokuju sigurnosne incidente, povećanje frekvencije sve razornijih DDoS napada kao i mnogi ostali napadi koje probijaju tradicionalne sigurnosne kontrole polagano ali sigurno mijenjaju strategiju i način pristupa info...
Analiza mrežnog prometa i detekcija anomalija
Sve češća pojava različitih oblika malware-a koji na sve inteligentnije načine uzrokuju sigurnosne incidente, povećanje frekvencije sve razornijih DDoS napada kao i mnogi ostali napadi koje probijaju tradicionalne sigurnosne kontrole polagano ali sigurno mijenjaju strategiju i način pristupa informacijskoj i IT sigurnosti.
Zaštita na perimetru pa čak i endpoint zaštita više nisu dovoljni kao odgovor na sve kompliciranije prijetnje i ranjivosti informacijskih sustava.
Jedini ispravan način koji će smanjiti rizik i/ili utjecaj ostvarivanja ovih prijetnji je osiguravanje detaljnog uvida u mrežni promet i aktivnosti unutar lokalne mrežne infrastrukture u kombinaciji sa proaktivnijim pristupom borbi protiv sigurnosnih ugroza.
KAKO BITI PROAKTIVAN U DANAŠNJE VRIJEME?
Većina tvrtki pouzdaje se u zastarjele IT sustave koji se sastoje od sigurnosnih kontrola na perimetru te zaštite krajnjih točaka sustava (endpoint security). Međutim, na taj način zanemaruje se veliki dio infrastrukture koja se nalazi između ova dva područja. U današnjem svijetu gdje imamo sve više prijetnji i ranjivosti i gdje preko 70% napada dolazi direktno iz naše lokalne mrežne okoline, ovaj pristup jednostavno više nije dovoljan.
Na koji način možemo osigurati svoje podatke i sustave od ovih novih prijetnji, s obzirom da smo svjesni da prevencija nikad u praksi nije 100% ostvariva?
Odgovor na ovo pitanje je i preporuka Gartnera – osigurati prvenstveno proaktivnu detekciju mrežnih anomalija i nepoželjnog ponašanja a potom mitigaciju. Ovo postižemo korištenjem alata za nadzor mrežnog prometa u kombinaciji sa specifično razvijenim algoritmima. To zovemo jednostavno detekcijom anomalija mrežnog prometa (NBAD – Network Behavior Anomaly Detection).
NBAD bazirana rješenja omogućavaju uvid u mrežni promet i detaljnu analizu mrežnih komunikacija kako bi se na vrijeme identificiralo bilo kakvo sumnjivo ponašanje, čak i ono koje nije do sad registrirano kao napad. Na ovaj način možemo odgovoriti na sigurnosne ugroze koje možda još nisu bile otkrivene od strane drugih sigurnosnih rješenja te za koje nije bio stvoren potpis napada.
NBAD nam omogućava:
• Detaljan uvid i spoznaju što nam se to točno događa u našoj mreži
• Korištenje statistika mrežnog prometa eksportiranih od rutera/preklopnika ili mrežnih probe-a (NetFlow, jFlow, IPFIX, NetStream i dr.) kako bi se automatski detektiralo nepoželjno ponašanje.
• Zatvaranje sigurnosnog kruga koristeći komplementarno rješenje za detektiranje naprednih prijetnji koje zaobilaze tradicionalna sigurnosna rješenja
• Poboljšavanje mrežne operativnosti uz automatsku detekciju anomalija i operativnih problema (npr. pogreške kod mrežnih konfiguracija i sl.)
Flowmon omogućava tvrtkama korištenje naprednih sigurnosnih rješenja koji su bazirani na NBAD tehnologiji. Ovaj set alata koriste globalno već brojni CISO-i kao i sigurnosni inženjeri kojima se korištenjem NBAD tehnologije dnevni zadaci i sigurnosne aktivnosti dramatično smanjuju I olakšavaju.
Koristeći napredne algoritme i automatsku detekciju mrežnih anomalija moguće je adekvatno odgovoriti na sigurnosne ugroze koje tradicionalna rješenja jednostavno ne mogu detektirati.