• nav


Перспективы анализа сетевого потока в области сетевой безопасности предприятия

В мире, где киберпреступность постоянно растет, и вопрос уже не в том, взломают ли вас, а скорее когда именно вас взломают, организации постоянно пытаются защитить свои цифровые активы любыми доступными средствами. При кибератаке ценные активы могут быть повреждены, украдены или лишены доступа, что приводит к денежным потерям и потере интеллектуальной собственности.

Видимость и протоколирование

Одним из наиболее важных аспектов обнаружения кибератак и нарушений является способность определить, кто и что сдеал, когда и где. Аналогичным образом, при проведении любого анализа сообщений об обнаруженной атаке или нарушении очень важно иметь историю, которая позволила бы вернуться назад во времени и подробно проанализировать произошедшее. Эта история может использоваться для разработки новых стратегий и мер по предотвращению аналогичных инцидентов в будущем и для проверки того, что новая мера могла бы предотвратить произошедший инцидент в первый раз. Кроме того, такая история может также использоваться для документирования или проверки соблюдения и выполнения любых соглашений об уровне обслуживания в рамках заключенных договоров.

Анализ и проверка данных

Основным инструментом для анализа и проверки данных является захват пакетов. С записью полного потока пакетов (Packet Flow) можно изучить и проанализировать инцидент до самого мельчайшего уровня детализации. Каждый пакет может быть обнаружен и проверен с помощью DPI (Deep Packet Inspection), и любой поток может быть воссоздан вплоть до точного времени прохождения каждого пакета. С точным потоком пакетов под рукой можно применять новые и более продвинутые типы анализа, а также искать любые тенденции, закономерности или аномалии. Любой пакет можно анализировать вручную, и в результате можно найти какие-то мелкие детали, пока не будет обнаружена основная причина инцидента. Наконец, когда разрабатывается любая новая мера безопасности, можно протестировать её в лабораторной среде с точным потоком пакетов от старой атаки, чтобы убедиться, что защита действительно работает так, как ожидалось, прежде чем реализовать ее в реальной сети. Именно здесь становится видимой польза от использования DPI и анализа сетевых потоков.

Требования к объёму для хранения всех сетевых пакетов

Чтобы понять, какая ёмкость хранилища нам нужна для анализа сетевых пакетов и какие уровни захвата пакетов нам использовать мы должны определить, сколько пакетных данных генерирует средняя организация или предприятие. Предположим, что малое / среднее предприятие будет генерировать среднюю сетевую нагрузку 750 Мбит/с в течение 24-часового окна, а крупное предприятие будет генерировать 5 Гбит/с при тех же условиях. На основе двух определенных предприятий мы можем рассчитать минимально необходимый объем хранения данных за 1 день, 1 неделю, 1 месяц и 1 год хранения пакетов.

Малое предприятие (750 Мбит/с):

  • День - 8 Тб
  • Месяц - 243 Тб
  • Год - 2957 Тб
Крупное предприятие (5 Гбит/с):
  • День - 54 Тб
  • Месяц - 1620 Тб
  • Год - 19710 Тб

Большинство доступных сегодня решений для захвата пакетов могут масштабироваться до 1000 ТБ хранения данных, что составляет примерно 4 месяца истории пакетных данных для малого / среднего предприятия и менее месяца для крупного предприятия. Для дальнейшего расширения истории пакетных данных, они могут быть сжаты перед записью в базу данных захвата пакетов. Эффект сжатия пакетных данных зависит от выбранного алгоритма и содержимого пакета данных, поскольку определенные данные больше подходят для сжатия, чем другие. Стандартные сетевые пакетные данные имеют типичную степень сжатия 3, поэтому сжатие может утроить историю захвата пакетов.

Следующий подход - хранение целиком сетевого потока

Но поскольку скорость сети продолжает расти вместе с количеством сетевых пакетов, DPI больше не является жизнеспособным решением для "живого " анализа реальной сети на лету. Как следствие, многие инструменты мониторинга и анализа сети фокусируются на записях потока (Packet Flow), которые они собирают из данных NetFlow/IPFIX в сети. Основываясь на этих записях потока, можно обнаруживать странное поведение и аномалии, которые требуют дальнейшего анализа. Всякий раз, когда инцидент обнаружен, у вас остаётся возможность анализировать базовые сетевые пакеты, вместе с потоком целиком.

Многие из самых современных продуктов сетевой безопасности реализованы именно таким образом: они включают как захват пакетов, так и проверку пакетов, включая DPI, что позволяет записывать сетевой поток вместе с метаданными. Потоки генерируются и пересылаются на отдельный узел, выполняющий более продвинутую аналитику, обычно используя искусственный интеллект и машинное обучение для обнаружения аномалий и других проблем безопасности. Всякий раз, когда обнаруживается проблема, искусственный интеллект имеет возможность вернуться к нужному времени и извлечь базовый пакет из устройства захвата пакетов для дальнейшей проверки и анализа.

На рисунке ниже показан пример такой конфигурации, в которой одна и та же схема реализована как с захватом пакетов, так и без него, в зависимости от необходимости детального анализа и документирования инцидентов.

Любой из блоков в такой схеме может быть ускорен с помощью умной сетевой карты SmartNIC. Для захвата пакетов SmartNIC может гарантировать нулевую потерю пакетов и добавление к каждому пакету точного времени и метаданных для более лёгкого индексирования и дальнейшего анализа пакетов. Для проверки пакетов SmartNICs может извлекать любые пересылаемые метаданные из блока захвата пакетов и помогать, выполняя некоторый уровень декодирования пакетов; он также может ускорять такие операции как дешифрование и/или поиск регулярных выражений. Для движка интеллектуального анализа потока, ускорение требуется больше на этапе машинного обучения, но и тут SmartNIC может ускорять некоторые операции механизмами look-aside.

В настоящее время в шлюзах безопасности обработка сетевого потока происходит за счёт ресурсов CPU, но в будущем эти операции могут быть вынесены на SmartNIC. Для этого потребуется, чтобы SmartNIC имел аппаратное ускорение вывода моделей искусственного интеллекта, способный быстро обсчитывать существующую модель для обнаружения аномалий трафика. Подобные разработки существуют у компании Napatech: большая часть обработки сетевого потока выполняется на умной сетевой карте, а процессор сервера используется только для записи сетевого потока и обучения моделей. Это позволяет обрабатывать сетевые потоки на скоростях до 200 Гбит/с на одном 24-ядерном сервере.

Однозначно, в дальнейшем в SmartNIC будут добавляться механизмы искусственного интеллекта для ускорения анализа потока и обнаружения аномалий на основе моделей машинного обучения без задействования ресурсов центрального процессора.

Рон Амадео
02/05.2019




ПОХОЖИЕ СТАТЬИ:

Решения для корпоративных WLAN сетей от Huawei

У крупных компаний есть готовые решения, созданные для работы с большим числом пользователей. Для оркестрации, как правило, применяется программный или аппаратный Wi-Fi контроллер, в задачи которого входит не только управление парк...

Технологии телеметрии Mellanox WJH для выявления проблем с сетью и хранилищем

Поскольку сеть позволяет получать доступ к приложениям, обмениваться данными и подключаться к хранилищу, хорошая потоковая телеметрия позволяет обнаружить даже ошибки приложений. Компания Mellanox решила, что её ASIC-и достаточно х...

EnGenius EWS660AP – мощная уличная Wi-Fi точка доступа

У каждого дома есть Wi-Fi роутер, который раздаёт беспроводной интернет на мобильные устройства – смартфоны, планшеты, ноутбуки. Для квартиры и частного дома вполне достаточного обычного роутера, но, когда зах...

Что такое SmartNIC и почему сетевые карты для серверов стали умнее

Концепция SmartNIC выходит за рамки простого подключения и уже подразумевает, что сама сетевая карта, а не центральный процессор сервера или СХД производят обработку не только сетевого трафика и протоколов, но даже каких-то вычисле...

Кремниевая фотоника Intel ведёт к снижению стоимости 100G сетей

Уже более 10 лет Intel трубит о преимуществах кремниевой фотоники, которая разрабатывается уже две декады. Сама Intel давно придерживается концепции разукрупненных вычислительных и запоминающих устройств для ЦОД, объединённых через...


НА ФОРУМЕ ГОВОРЯТ



НОВЫЕ СТАТЬИ
A4 FStyler FG10 – беспроводная офисная мышь из новой линейки

Недавно бренд A4Tech представил новую линейку офисной и домашней периферии с интересным названием FStyler. Линейка включает и мышки, и клавиатуры, и комплекты в проводном и беспроводном исполнении. Сегодня мы рассмотрим ...

Обзор Nobby Expert NBE-PB-10-10 и Nobby Comfort NBC-TC-34-20

Бренд Nobby предлагает целый парк аксессуаров для мобильной техники – чехлы, зарядные устройства, USB кабели, беспроводные наушники и колонки. И сегодня мы протестируем симпатичный powerbank Nobby Expert NBE-PB-10-10...