Metody založené na signaturách sloužící k zastavení útoků na síti nebo šíření virů jsou v kombinaci s ochranou klientských stanic antiviry nebo antispyware už obecně rozšířené a používané. V několika posledních letech se však ukazuje, že ochrana založená na tomto přístupu není dostatečná. Správci IT oddělení se stále častěji setkávají se situacemi, kdy na trhu dostupné ochranné softwary neodhalí vzniklý problém. Typický příklad uvádí Jihomoravské inovační centrum (JIC): „Umisťování na blacklisty pro nás znamenalo značné komplikace jak z pohledu zaměstnanců tak partnerů a zákazníků,“ říká Jiří Vala, manažer ICT JIC. „Řešením problému jsme trávili řádově desítky hodin, ale jeho příčinu se nepodařilo odhalit. Nezbylo nám než při každém incidentu pracně odstraňovat naši IP adresu z blacklistů.“
Současný stav ochrany firemních dat
Mezi nejrozšířenější bezpečnostní řešení dnes patří antiviry a systémy detekce průniků. Jejich společným jmenovatelem je vyhledávání nežádoucích kódů, resp. útoků, na základě signatury, kterou je nutné znát. Navíc nejde jen o viry, existuje celá řada potenciálně nebezpečných aplikací a aktivit uživatelů, které mohou narušit stávající bezpečnostní opatření nebo umožnit únik citlivých informací, aniž by to bylo prvotním záměrem uživatele. Samostatnou kapitolou je pak využívání prostředků zaměstnavatele k soukromým či nelegálním účelům, jako je např. šíření autorsky chráněného obsahu.
Hackeři jsou o krok napřed
Pro odhalování neznámých útoků a zranitelností nebo škodlivého kódu, pro který nebyla signatura dosud vyvinuta, je vhodná především behaviorální analýza. Ta vykazuje rychlou použitelnost, jelikož není závislá na dalších technologiích nebo využívaných aplikacích, poskytuje vysokou škálovatelnost a výkon bez nutnosti znalosti topologie monitorované sítě, instalace softwaru na jednotlivé stanice nebo změny konfigurace. Cílem analýzy je rychle odhalit neznámé nebo nezvyklé odchylky od běžného chování, a tím upozornit na případnou hrozbu. „Pomocí služby auditu sítě jsme problém vyřešili ještě v den jejího nasazení. Na základě této zkušenosti jsme se rozhodli využívat FlowMon ADS pro trvalý monitoring sítě JIC, abychom podobným problémům v budoucnu dokázali efektivně předejít,“ doplňuje Jiří Vala.
Maximální bezpečnost v rámci ochrany dat vyžaduje také Česká správa sociálního zabezpečení, která spravuje agendu zhruba 8,5 milionu klientů. K tomu potřebuje dostatečně zabezpečit počítačovou síť tak, aby nedošlo k nežádoucímu úniku důvěrných informací či osobních údajů klientů. Z důvodu kontroly možných slabých míst v ICT infrastruktuře se rozhodla využít audit provozu sítě s cílem zvýšit bezpečnost a kontrolu nad infrastrukturou. Podle vyjádření ČSSZ získala organizace kompletní analýzu síťového provozu na jedné z poboček České správy sociálního zabezpečení. Behaviorální analýza byla přínosná z pohledu rozboru používaných protokolů a celkového pohledu na provoz infrastruktury.
Pohled do „centrálního nervového systému“
„Pokud si chce firma udělat obrázek o tom, co se v její datové infrastruktuře skutečně děje a jak ji uživatelé využívají, je třeba se podívat přímo do jejího centra. Tím je datová síť, která tvoří nervovou soustavu firemní infrastruktury,“ říká Pavel Minařík, ředitel vývoje české společnosti AdvaICT. „Díky měření provozu datové sítě je možné získat přehled o přístupech uživatelů k informacím, míru skutečného využívání služeb, pohyby elektronické pošty, šíření virů, stahování filmů z P2P sítí, pokusy o přístupy k nedostupným službám a řadu dalších.“
Zmapovat provoz datové sítě a odhalit provozní a bezpečnostní problémy lze přitom velmi snadno. Je možné začít auditem provozu datové sítě, jehož výstupem je nejen zhodnocení stavu sítě a bezpečnostních opatření, ale také například pracovní morálka zaměstnanců nebo dodržování SLA ze strany poskytovatelů služeb. U nalezených incidentů či problémů poskytuje audit podklady pro jejich rychlé a efektivní vyřešení.
Analyzovaná data lze přirovnat k výpisu telefonních hovorů, kdy víme, kdo a s kým komunikoval, kdy a jak dlouho, vlastní obsah komunikace však zůstává skrytý. Technologie je tak v souladu s platnou legislativou na ochranu soukromí a osobních údajů
Mladá technologie NBA
Historie auditu zaměřeného na síťový provoz je relativně krátká, provádí se teprve několik let. Začala spolu s rozvojem nástrojů pro monitoring provozu v sítích, které umožňují sbírat informace o tom, jaký druh provozu a v jakém objemu se v síti objevuje. Pravý rozmach ale přichází až s nástupem nástrojů pro automatickou analýzu těchto informací, především pro behaviorální analýzu sítě (Network Behavior Analysis, NBA). A právě využití této technologie je největší přidanou hodnotou auditu provozu v síti oproti běžným IT auditům.
Z výzkumu pro americkou armádu inovační technologie pro firmy
Behaviorální analýzu sítě dosud používaly především velké společnosti v USA zejména z důvodu pracnosti jejího nasazení (průměrně tři měsíce). Ve světě tuto technologii poskytuje pouze několik firem. V České republice byla NBA prvně nasazena v roce 2009 ve formě „odlehčeného“ řešení dostupného i pro menší organizace, kterou vyvinul vývojový tým z Brna na základě předchozího výzkumu pro americkou armádu.
Inovací české technologie je rychlost a nenáročnost nasazení do sítě, které podle reálných zkušeností zákazníků trvá zhruba jednu až dvě hodiny. První výstupy má firma k dispozici ihned. Právě díky extrémní jednoduchosti nasazení monitoringu a analýzy provozu sítě je možné tuto technologii využít k efektivnímu řešení různých problémů spojených s IT infrastrukturou prakticky v jakékoliv síti. Podle slov Pavla Minaříka byla tato technologie použita v projektech obsahujících od 20 počítačů až po 18 000 zařízení v síti.
Foto: © Victoria - Fotolia.com