O českou behaviorální analýzu sítě mají zájem v Silicon Valley

11. 8. 2011

Sdílet

Při zabezpečení a ochraně dat dnes firmy využívají řadu bezpečnostních prvků a kontrolních mechanismů včetně auditů v oblasti správy ICT, jako jsou penetrační testy, optimalizace softwarových licencí nebo revize bezpečnostních politik. Světovou novinkou je služba „audit provozu v síti“ postavená na řešení z dílny českých programátorů. Proti běžným, v současné době používaným auditům se zaměřuje na analýzu reálného děje v síti bez ohledu na používané bezpečnostní nástroje a jejich konfiguraci, bezpečnostní předpisy či charakter organizace. 

České řešení umožňuje provést tzv. behaviorální analýzu sítě (tzv. Network Behavior Analysis, NBA), kterou v USA používají poslední tři roky především velké společnosti z důvodu pracnosti jejího nasazení (průměrně 3 měsíce). Ve světě tuto technologii poskytuje pouze šest společností, z toho pět amerických. V České republice byla NBA prvně nasazena v loňském roce  ve formě „odlehčeného“ řešení dostupného i pro menší společnosti – NBA používá například Masarykova univerzita nebo Magistrát města Brna. Inovací české technologie je rychlost a nenáročnost nasazení do sítě, které trvá pouze jednu hodinu a výstupy má firma k dispozici ihned. Právě na základě rychlosti nasazení českého řešení je v současné době možné využívat NBA také formou jednorázové služby auditu provozu v síti.

 

Popis skutečného stavu 

Audit je postaven na analýze provozu, který se v síti skutečně vyskytuje. Z tohoto pohledu hodnotí stav sítě a způsob práce s ní bez ohledu na používané nástroje, směrnice či bezpečnostní politiky. Popisuje tak nejen stav sítě a jejích bezpečnostních prvků, ale nepřímo také například pracovní morálku zaměstnanců nebo dodržování SLA ze strany poskytovatele připojení k internetu. U nalezených incidentů či problémů poskytuje detailní podklady pro jejich rychlé a efektivní řešení. „Jde například o slovníkové útoky proti serverům, skenování sítě, vzdálený management, šíření malware, nebo odesílání spamu,“ vyjmenovává Pavel Minařík, ředitel vývoje české společnosti AdvaICT. „Takto detekované incidenty lze vyřešit dříve než ovlivní chod celé organizace a eskalují na úroveň nejvyššího managementu.“ Dalším krokem na základě odhalených útoků je nastavení prostředí tak, aby se již nemohly opakovat. 

Výstupy auditu provozu sítě jsou potřebné v okamžiku, kdy firmu zatěžuje problém, který není schopna vyřešit pomocí dostupných nástrojů, slouží jako podklad při plánované restrukturalizace sítě či jako nezávislá kontrola stávající správy sítě. Audit je také vhodný jako první krok na cestě k trvalému monitoringu a analýze sítě.

 

Technické parametry 

Audit provozu v síti nenarušuje stávající ICT infrastrukturu. Nedochází k úniku citlivých informací z vnitřní sítě ani ke zpomalení provozu v síti. Zapojení zařízení do sítě je dokonce z pohledu auditované sítě nezjistitelné. „Audit lze zrealizovat i bez vzdáleného přístupu k používanému zařízení a všechna data získaná v průběhu monitoringu sítě jsou při ukončení auditu nenávratně smazána nebo předána firmě,“ konstatuje Minařík. 

Audit provozu sítě je nenáročný na součinnost, firma nemusí provádět žádné expertní úkony. Poskytuje pouze základní informace o topologii sítě a asistenci při zapojování zařízení do sítě a následném odpojení po ukončení auditu. Součinnost technických pracovníků nutná pro realizaci auditu je typicky do čtyř hodin.

 

Úspory a bezpečnost jsou dnes samozřejmostí 

Nevhodná konfigurace sítě či bezpečnostní incidenty mohou způsobit každé společnosti velké ztráty. V situaci neustálého zvyšování objemu přenášených dat, na které organizace nejčastěji reagují nákupem výkonnějších síťových prvků a pořízením rychlejšího připojení k internetu, však nejhmatatelnější úsporu generuje popsání struktury provozu a upozornění na tu část, kterou je možné omezit (například sdílení hudby a prohlížení videí na internetu) a tím zbytečné výdaje eliminovat. Ruku v ruce s touto úsporou jde také zvýšení produktivity na straně zaměstnanců. Ti při vědomí, že může být vykonán opakovaný náhodný audit, nežádoucí aktivity omezují a více se věnují své práci. 

Díky nízkým nákladům je možné audit objednat rychle a bez zbytečného schvalování na několika úrovních, což významně urychluje realizaci auditu. „První výstupy, které budou použity pro vypracování auditní zprávy, jsou generovány nejvýše do hodiny od vstupu do serverovny a je možné je okamžitě konzultovat,“ upřesňuje Pavel Minařík. „Auditní zpráva je hotová s ohledem na trvání auditu během čtrnácti dnů nebo jednoho měsíce.“

 

Outsourcing znalostí 

V situaci, kdy tlak na nízké náklady neumožňuje řadě firem zaměstnávat špičkové odborníky v oblasti správy sítí a kdy překotný vývoj přináší neustále nové nástroje a možnosti, představuje provedení auditu provozu v síti způsob, jak do organizace přinést expertní znalosti v oblasti správy a zabezpečení sítí. V auditní zprávě reprezentují tyto znalosti především doporučení pro zákazníka na základě zjištěných nedostatků.

 

Kořeny nedávno minulé 

Historie auditu zaměřeného na provoz v síti je relativně krátká, provádí se přibližně tři roky. Začala s rozvojem nástrojů pro monitoring provozu v sítích, které umožňují sbírat informace o tom, jaký druh provozu a v jakém objemu se v síti objevuje. Pravý rozmach ale přichází až s nástupem nástrojů pro automatickou analýzu těchto informací, především nástrojů pro behaviorální analýzu sítě tzv. Network Behavior Analysis, NBA. A právě využití NBA technologie je největší přidaná hodnota auditu provozu v síti oproti běžným IT auditům.

 

 

Našli jste v článku chybu?

Autor aktuality