Перегрузка информацией
Форт Нокс расположен в удаленном районе Кентукки и его посещает очень небольшое количество визитеров. К сожалению, для современных сетей ситуация несколько иная. Для большинства сетей, количество данных, которые необходимо обрабатывать, превышает все мыслимые пределы. Проблема для систем мониторинга таким образом не в адекватности информации, а скорее в возможностях обрабатывать и передавать такие огромные массивы данных.
Данные о сети могут быть собраны из различных источников, начиная от log-файлов на тысячах сетевых компьютеров и заканчивая необработанными данными, проходящими по проводам. Во многих сетях количество таких "сырых" данных превышает несколько террабайтов в день. При необходимости обрабатывать все данные (как мы обсуждали в предыдущих уроках) мы становимся перед проблемой нереальной стоимости хранения такого количества информации. Понятно становится, почему многие организации просто поднимают руки вверх и перестают этим заниматься. Действительно, защитить современные сети становится даже сложней, чем обезопасить Форт Нокс!

Обработка по мере поступления

Обычный подход к сетевому мониторингу заключается в сохранении данных так долго, насколько это возможно, чтобы они были доступны для анализа, когда он потребуется. Однако современные исследователи в области безопасности, как физической, так и сетевой, вскоре поняли, что обрабатывать данные сразу после их получения более практично, чем сохранять их все и использовать их позже. Также как охрана в Форте Нокс сразу активно просматривает и анализирует поведение посетителей, а не оценивает их потом по видеозаписям.
В последние годы международные агентства по безопасности и анализу предприняли масштабные усилия, чтобы обеспечить анализ всей доступной информации об угрозе в реальном времени. Такой подход позволяет экспертам в сфере физической безопасности принимать более информационно обоснованные решения, поскольку они анализировали больше данных. Ценность анализа не зависит от того, как много информации хранится, а скорее от объема данных, которые были переработаны для анализа.

Доступность и ценность данных

В сфере сетевой безопасности мы сейчас полагаемся на следующую гипотезу, приводящую к успеху. Качество сетевого анализа зависит от "ширины" и "глубины" обрабатываемых данных и способности системы обработки точно классифицировать информацию. Самый лучший сорт данных, которые попадают в такую систему, это данные, которые были обработаны только в минимальной форме (максимально "сырые"). Если говорить о широте охвата данных, возможность обеспечения полной прозрачности сети требует, чтобы все коммуникации, которые выходят из сети, входят в нее, а также осуществляются вокруг нее, были направляемы в систему сбора и анализа. Как будет описано ниже,  для этого существуют различные методы сбора и анализа сетевых данных.

Сетевые зонды (пробы)

Традиционные решения по мониторингу сети требуют, чтобы сетевые данные проходили сквозь них (inline), или чтобы копия такого трафика направлялась в них (spanned). Такой подход требует наличия множества (иногда сотен) зондов трафика, распределенных в сети. Системы на базе анализа сигнатур требует именного такого типа доступа к коммуникациям, поскольку образцы (паттерны) сравниваются с данными в потоке. Такой метод сбора данных обеспечивает самый высокий уровень "глубины" данных, но достижение полного покрытия (широты охвата) может быть технически неосуществимым. Если сравнивать с Фортом Нокс, то это похоже на анализ каждого сказанного слова в каждом разговоре внутри, снаружи форта, а также в окрестностях радиусом нескольких миль от форта (что, как говорилось выше, еще более трудно достижимо в современных корпоративных сетях).

Резюме по методам обнаружения

Как мы обсуждали в Уроке 2, метод обнаружения угроз, основанный на анализе поведения, не требует использования всех данных, что необходимо для обнаружения на основе сигнатур. Как мы говорили, хотя сигнатурные методы и имеют свою ценность, они ограничены в возможности обнаружения современных и продвинутых угроз. Механизм сигнатурного обнаружения может использоваться как вспомогательный метод обеспечения безопасности, но для защиты от современных угроз технология анализа поведения является критичной для защиты сети.

NetFlow

Для того, чтобы получить возможность широкого охвата для сетевой безопасности, информация может собираться с сетевых устройств, используя NetFlow. NetFlow - технология, придуманная Cisco, которая записывает все события, связанные с сетевым устройством, а последние затем перенаправляются в коллектор NetFlow для анализа. Если сравнивать с физической безопасностью, это что-то типа технологии, которая записывает данные об участниках каждого разговора, как долго они разговаривали, цель их разговора (и многое другое), но не сохраняет реальные слова (данные). NetFlow не содержит весь пакет захваченной информации, а только критические компоненты сетевых коммуникаций, которые могут использоваться для поведенческого анализа, включая источник, приемник данных, используемые порты/протоколы, длина и размер коммуникации.

StealthWatch и NetFlow

Преимущество использования записей NetFlow заключается именно в том, что она помогает справиться, когда информация "выплескивается из кастрюли". Чтобы избежать переполнения информацией, системы, реагирующие на нарушение безопасности, нуждаются в умных решениях, которые будут подсказывать нужное направление действия. Именно здесь StealthWatch от компании Lancope выделяется среди конкурентных решений. Используя более 130 поведенческих алгоритмов к безмерному количеству данных NetFlow, StealthWatch способен определить почти любые нарушения сетевой безопасности или производительности. Созданный с самого начала для обнаружения неизвестных, самых современных угроз, это устройство предлагает инструмент, позволяющий увидеть угрозы, исходящие как от обычных преступников, так и от элитных хакеров, не полагаясь на постоянно обновляемые сигнатуры. Другими словами, он обеспечивает тот класс контроля данных, который обеспечивает персонал Форта Нокс в физической реальности.

Заключение

Мы только тогда можем помешать атаковать нашу сеть, когда может обеспечивать сложную и умную обработку всех необходимых данных. Защищенная сеть создана для обработки всех необходимых сетевых данных в тот момент, когда они становятся доступны, поэтому нам необходимы аналитические системы, предоставляющие нам инструменты защиты. На следующем уроке мы рассмотрим различные типы преступников, которые мечтают более близко познакомиться с нашей сетью.