Monitorowanie sieci: zobaczyć i zareagować
Wobec rosnącej potrzeby ciągłego monitorowania sieci i bezpieczeństwa, wynikającej między innymi z konieczności zachowania zgodności z regulacjami, wzrasta popyt na stworzone do tego narzędzia.
Gdy rośnie zapotrzebowanie na infrastrukturę, szybko przybywa urządzeń, które muszą zostać poddane monitoringowi sieciowemu oraz spełniać określone standardy bezpieczeństwa. Ponieważ współczesne środowiska IT są coraz bardziej złożone, to rozpoznanie poszczególnych ich komponentów sprawia coraz więcej problemów administratorom, którzy mają pod opieką rozproszone systemy informatyczne. Z pomocą przychodzą wyspecjalizowane rozwiązania do monitorowania stanu działania sieci i aplikacji oraz systemy do monitorowania bezpieczeństwa.
– System monitorowania powinien przede wszystkim zredukować koszty, jakie organizacja ponosi z tytułów przestoju sieci. Umożliwić skrócenie czasu na rozpoznanie i naprawienie usterki, zwiększyć szybkość rozwiązania problemów i wprowadzać jakąś formę automatyki obsługi alertów – mówi Piotr Kawa, Business Development Director w Bakotechu.
Dla wielu organizacji monitorowanie swoich środowisk IT to spore wyzwanie. Mogą użyć narzędzi, które osobno realizują funkcje monitoringu sieciowego, bezpieczeństwa czy monitorowania aplikacji. Jednak stosując takie oddzielne rozwiązania od różnych producentów, trudniej nad wszystkim zapanować. Trzeba się przełączać pomiędzy różnymi konsolami do zarządzania, a uzyskane informacje nie są ze sobą skorelowane. Ważne są dostępność i przejrzystość danych dostarczanych przez systemy monitorowania, a administratorzy, oprócz sygnału o problemie, potrzebują także automatyzacji w podejmowaniu pewnych akcji.
– Przykładem może być monitorowanie ścieżki sieciowej z punktu A do punktu B. Jeżeli system monitorujący wykryje, że pakiety sieciowe nie dochodzą do lokalizacji docelowej z powodu zmiany konfiguracji na urządzeniu, to oprócz tego, że nas o tym powiadomi, powinien podjąć odpowiednie działania. W tym wypadku wykonać odpowiedni skrypt na urządzeniu, który spowoduje przywrócenie konfiguracji sprzed pojawienia się problemu – tłumaczy Piotr Szymański, Presales Engineer w Connect Distribution.
Przenikające się obszary
Jeśli kluczem do efektywnego monitorowania jest korelacja informacji z wielu systemów, które pracują w warstwie sieciowej oraz aplikacyjnej, to – zdaniem Piotra Szymańskiego – optymalne są systemy modułowe, służące do monitorowania sieci, aplikacji, użytkowników podłączonych do przełączników, backupu konfiguracji urządzeń czy monitorowania integralności plików.
– Oprogramowanie, które w ramach platformy webowej w jednym miejscu udostępnia moduły realizujące wszystkie wymienione zadania, będzie dla administratora ogromnym ułatwieniem – twierdzi inżynier warszawskiego VAD-a.
Kłopoty z aplikacją mogą dotyczyć zarówno warstwy sieciowej, jak i aplikacyjnej. Poprzez analizę pakietów można na samym początku stwierdzić, w której z nich występuje problem, a następnie użyć dodatkowych narzędzi – analizy ścieżki sieciowej w przypadku problemów sieciowych albo widoku całej infrastruktury i poszczególnych jej elementów w warstwie aplikacyjnej.
O wyborze odpowiedniego rozwiązania do monitorowania, oprócz mnogości opcji i dostępnych funkcji, należy także zwrócić uwagę na wsparcie techniczne producenta oraz społeczność, jaką tworzą sami użytkownicy. Ta druga jest ważna, bo bardzo często zanim uzyska się wsparcie od producenta, można znaleźć opis i rozwiązanie problemu na forum użytkowników danego narzędzia.
Ponieważ obszary monitorowania sieci i bezpieczeństwa się przenikają, to nie może dziwić fakt, że na rynku dostępne są systemy bezpieczeństwa, które posiadają komponenty do monitorowania sieci, analizy netflow czy nawet całego ruchu sieciowego. Mimo iż główną ich funkcjonalnością jest analiza poziomu bezpieczeństwa, a więc analiza logów i korelacja zdarzeń, to – zdaniem Piotra Kawy – są w stanie konkurować z dedykowanymi rozwiązaniami do monitorowania.
– Organizacje wybierające takie rozwiązanie otrzymują jeden spójny system i jeden interfejs graficzny do obsługi incydentów bezpieczeństwa oraz monitorowania sieci – mówi specjalista Bakotechu.
Rośnie poziom komplikacji
Gdy chodzi o monitoring sieci, nie ma gotowego, jednego scenariusza dla wszystkich organizacji. Każda ma określony model pracy, a co za tym idzie: infrastruktura, zasoby, dane czy po prostu narzędzia, z których korzystają pracownicy mogą być skrajnie różne.
– Systemy analizujące anomalie sieciowe nie są rozwiązaniami gotowymi do pracy „po wyjęciu z pudełka”. Trzeba nakładu pracy i czasu, aby poznać sieć i dostosować modele, wzory ruchu charakterystyczne dla danej organizacji. Testy rozwiązania mogą być czasochłonne i angażować jednocześnie kilka osób z różnych departamentów IT – nie tylko działu bezpieczeństwa, ale również sieciowego, produkcyjnego oraz innych, w zależności do organizacji – mówi Michał Porada, Business Development Manager Cisco Security w Ingram Micro.
Dużą zmianą jest to, że rynek nieuchronnie zmierza w kierunku hybrydowego IT, w którym dane czy systemy przechowywane są nie tylko w firmowych data center i serwerowniach. Coraz częściej wykorzystywane są w tym celu także instancje chmurowe. Z jednej strony zapewnia to wygodę w dostępie do danych czy aplikacji, z drugiej – nie trzeba się martwić o utrzymanie infrastruktury czy redundancję. Ma to jednak swoje konsekwencje: nie wystarczy już monitorować wyłącznie swojej infrastruktury, ale trzeba mieć wgląd w elementy środowiska wyniesionego do chmury. Problemem jest też to, że środowiska bezpieczeństwa często są projektowane głównie z myślą o analizie ruchu pomiędzy organizacją a „złym zewnętrznym światem”.
– Tylko co zrobić w sytuacji, gdy mamy do czynienia z zagrożeniem, które już propaguje się wewnątrz sieci? Czy będziemy w stanie znaleźć hosta, który wyprowadza dane? Urządzenie, które nagle łączy się do niebezpiecznych miejsc albo próbuje skanować w poszukiwaniu podatności naszą sieć? – pyta Michał Porada.
W badaniu ESG „Toward Enterprise-class Cybersecurity Vendors and Integrated Product Platforms” 76 proc. ankietowanych organizacji przyznaje, że detekcja i odpowiedź na zagrożenia staje się coraz trudniejsza właśnie ze względu na powiększanie się potencjalnej „powierzchni” ataku. W tym samym badaniu 40 proc. ankietowanych przyznało, że największym problemem jest konieczność wykorzystania wielu rozwiązań dla różnych typów środowisk. Rozwiązania te pozostają często pod opieką oddzielnych zespołów, co również nie sprzyja efektywności operacyjnej.
Jak w takiej sytuacji sprawić, by system odciążał analityka i przedstawiał mu niemal „na tacy” tylko to, co jest ważne z punktu widzenia bezpieczeństwa? W jaki sposób spowodować, by jego rola nie kończyła się tylko na monitorowaniu, tylko rozszerzyć możliwości również o aktywne i automatyczne działanie, które daje przewagę nad napastnikiem a analitykom czas, którego najczęściej nie ma zbyt wiele?
Zdaniem Michała Porady, z pomocą przychodzi znany już od dłuższego czasu model „network as a sensor and enforcer”. W oparciu o niego zbierana jest masa informacji dotycząca między innymi netflow, danych o urządzeniach czy użytkownikach, podatnościach itp. Następnie wszystkie te informacje nakładane są na siebie wraz z danymi pochodzącymi z zespołów odpowiedzialnych za rozwój bezpieczeństwa (threat intelligence). W taki sposób system uzyskuje pełny kontekst ruchu sieciowego.
– Dzięki temu wiadomo, który ruch ma znamiona standardowego dla danego urządzenia, a który nie – twierdzi ekspert Ingram Micro.
Istotne będą możliwości reagowania przez system na generowane alarmy – czy to w postaci automatycznej kwarantanny hosta, odrzucania pakietów pochodzących z niebezpiecznych miejsc, modyfikacji tablic routingu itp. Połączenie funkcji sensora i wymuszenia odpowiedniego działania w trybie automatycznym tworzy rozbudowany i skuteczny system monitoringu.
Monitorowanie nie tylko dla dużych
Konieczność ciągłego monitorowania i reagowania na incydenty, przestrzegania wymagań zgodności z regulacjami, zdobywania i odnawiania certyfikatów oraz zarządzania i przechowywania rejestrów zdarzeń napędza popyt na systemy klasy Security Information and Event Management (SIEM). Pomagają one organizacjom zarządzać danymi związanymi z bezpieczeństwem i podejmować decyzje w procesie wykrywania zdarzeń. Są one także wykorzystywane do identyfikowania potencjalnych naruszeń i zagrożeń dotyczących różnych obszarów sieci. Na rosnące wykorzystanie analityki bezpieczeństwa wpływają czynniki takie jak: automatyzacja wykrywania błędów i ich naprawa, rygorystyczne wymogi dotyczące zgodności, uzyskanie pełnego wglądu w środowisko, zbieranie logów i zarządzanie nimi oraz minimalizowanie liczby fałszywych alarmów.
Rozwiązania do monitorowania powinny mieć możliwość przekazywania komunikatów do systemów typu SIEM, które są w stanie skorelować informacje z wielu źródeł, a następnie są w stanie podjąć odpowiednie działania, jak wyłączenie konta użytkownika czy automatyczne zablokowanie adresu IP skanującego porty. W segmencie korelowania zdarzeń bezpieczeństwa jest dostępnych wiele rozwiązań, ale są one przede wszystkim przeznaczone dla dużych firm ze sporym budżetem.
– Pod tym względem sektor MŚP został trochę zaniedbany – mniejszych firm nie stać na bardzo drogie platformy klasy SIEM. Rozwiązaniem mogą być produkty tańsze, mniej popularne, realizujące te same zadania, a pozbawione jedynie kilku funkcji względem swych drogich odpowiedników. Funkcji, które często nie są niezbędne w mniejszych organizacjach albo wręcz nie mają tam zastosowania – zauważa Piotr Szymański.
Rozwiązania do monitorowania sieci stały się podstawowymi narzędziami pracy wyspecjalizowanych działów NOC (Network Operations Center) czy SOC (Security Operations Center). W specjalizowanych centrach NOC działa najczęściej kilka systemów monitoringu jednocześnie – każdy odpowiedzialny za odrębny fragment, tworząc jedną spójną całość, aby zapewnić bezawaryjną pracę.
– Oprócz monitorowania aktywnego SNMP, klienci inwestują w wyspecjalizowane systemy monitorowania sieci bazującego na pakietach sieciowych, gdzie badane są opóźnienia poszczególnych transakcji, czasy odpowiedzi serwerów i błędy (liczone w milisekundach), wszystko po to, aby aplikacje bądź usługi, które są krytyczne dla biznesu, były dostarczane do użytkowników w sposób ciągły, bez przestojów – podsumowuje Piotr Kawa.
Zdaniem specjalisty
Piotr Kawa, Business Development Director, Bakotech Jeszcze kilka lat temu pierwszym wyborem w organizacjach, które wchodziły w świat monitorowania, były systemy open source, takie jak Nagios czy Zabbix. Obecnie wyraźnie zwiększyło się zainteresowanie rozwiązaniami komercyjnymi. Klienci poszukują narzędzi, które będą w stanie obsłużyć heterogeniczne środowiska sieciowe czy serwerowe. I nie chodzi tylko o samo monitorowanie SNMP – chcą rozwiązań, które idą dalej, oferując zarządzanie konfiguracją, analizę ścieżek połączeń, budowanie automatycznych map czy też analizę działania poszczególnych, często krytycznych aplikacji. Wielką przewagą systemów komercyjnych jest fakt, że organizacje nie muszą samemu rozwijać kodu, ponieważ od razu, out-of-box, dostają predefiniowane pulpity, szablony konfiguracji czy alerty.
Piotr Szymański, Presales Engineer, Connect Distribution Produkty do monitorowania powinny być łatwe we wdrożeniu i mieć wiele wbudowanych funkcji pomagających administratorom wychwytywać błędy. Chociażby tworzone w czasie rzeczywistym wykresy, w których można ująć dowolne metryki z monitorowanych systemów i zobaczyć, jak wygląda korelacja między nimi. Ponieważ obciążeni pracą administratorzy nie mają czasu na przełączanie się pomiędzy różnymi rozwiązaniami w celu znalezienia czy rozwiązania jakiegoś problemu, to kluczowa jest integracja wielu narzędzi w jednej konsoli. Dodatkowo ma to przełożenie na aspekt finansowy – im więcej mamy modułów czy produktów od tego samego producenta, tym bardziej można liczyć na lepsze warunki zakupu kolejnych komponentów.
Michał Porada, Business Development Manager Cisco Security, Ingram Micro Samo zrozumienie, co należy monitorować, wymaga audytu albo chociaż solidnego rachunku sumienia ze strony administratorów sieciowych. Jakie urządzenia funkcjonują w firmowej infrastrukturze? Jakie dane są przechowywane i gdzie się one znajdują? Kto ma do nich dostęp? Jak są skonfigurowane polityki bezpieczeństwa? To tylko część pojawiających się pytań, dla których właśnie ciągły monitoring sieci i analiza ruchu ułatwiają znalezienie odpowiedzi. Dlatego są to kluczowe działania wpływające na odpowiedni poziom cyberbezpieczeństwa. To dzięki nim incydenty bezpieczeństwa można znacznie lepiej zrozumieć, by potem – poprzez właściwe działania – skutecznie reagować na nie w czasie rzeczywistym.
Podobne artykuły
Connect Distribution Roadshow: „stawiamy na bezpieczeństwo”
Tematem przewodnim spotkań z partnerami w trzech miastach - Krakowie, Poznaniu i Warszawie - było bezpieczeństwo. I nie mogło być inaczej, jeśli właśnie w tym kierunku rozwija się oferta Connect Distribution.
Wideokonferencje: czas na indywidualne rozwiązania
Powszechna praca zdalna i hybrydowa „rozpędziła” rynek rozwiązań do wideokonferencji. Nieuchronne wzrosty sprzedaży może hamować brak standaryzacji i interoperacyjności między poszczególnymi platformami.
Rubrik: ransomware nam niestraszny
Rubrik zaprojektował rozwiązanie do backupu z funkcją gwarantującą ochronę zabezpieczanych danych przed zewnętrznymi zagrożeniami.