W obliczu zagrożenia ludzie przestają zwracać uwagę na mniej istotne sprawy, a za takie uważają bezpieczeństwo własnych komputerów i firmowej sieci. Podobnego podejścia muszą wystrzegać się administratorzy sieci, bowiem cyberprzestępców kryzysy nie obowiązują, a brak reakcji w dynamicznie zmieniającej się sytuacji może oznaczać naruszenie ciągłości pracy firmy.

Każda kryzysowa sytuacja wymaga nadzwyczajnych środków bezpieczeństwa, również w stosunku do sieci. Tym bardziej zasada ograniczonego zaufania powinna odgrywać tu główną rolę. Warto wyciągnąć wnioski z obecnej sytuacji, by lepiej przygotować się na nieoczekiwane zmiany w przyszłości.

W związku z powszechnym przejściem na pracę zdalną zdecydowanie wzrosło nasilenie ruchu generowanego w wirtualnych prywatnych sieciach VPN i odbywającego się przez wszelkiego typu systemy do wideokonferencji. Nie wszyscy pracownicy dysponowali służbowym sprzętem mobilnym, więc w większości przypadków wyrażono zgodę na pracę na prywatnych komputerach, w modelu BYOD. Sytuacja ta wymuszała często zmiany zapisów polityki bezpieczeństwa związane z możliwością łączenia się z internetem z sieci lokalnej pracownika, a nie przez centralę firmy, zabezpieczoną profesjonalnymi systemami i urządzeniami sieciowymi.

Pełny wgląd w pracę sieci

Większość przedsiębiorstw nie była gotowa na tak drastyczne zmiany i konieczność wprowadzenia z dnia na dzień rozwiązań  gwarantujących wysoką przepustowość sieci. Nastąpił boom zakupowy narzędzi VPN-owych, laptopów, systemów do wideokonferencji i nasilenie innych, powiązanych inwestycji. Wiele firm decydowało się na zakupy, choć nie zebrały wszystkich potrzebnych informacji.

Tymczasem do podjęcia optymalnej decyzji, adekwatnej do sytuacji w sieci, administrator potrzebuje kompleksowych danych dotyczących stopnia wykorzystania łącza internetowego w związku z nasileniem ruchu VPN, rodzaju prowadzonej w ten sposób komunikacji, a także liczby korzystających z niej równocześnie użytkowników. Przydatne są również informacje o wydajności sieci i jakości połączenia osób pracujących zdalnie oraz o pojawianiu się nowych anomalii lub ataków w związku ze złagodzoną polityką bezpieczeństwa.

Tego typu informacji dostarczają rozwiązania firmy Flowmon, dzięki analizie danych przesyłanych z urządzeń sieciowych (routerów, przełączników, firewalli) za pomocą protokołu NetFlow lub podobnego. Analizowany jest ruch generowany przez użytkowników zdalnych wewnątrz sieci lokalnej. Jeżeli administrator chce monitorować również ruch wychodzący do internetu, a nie tylko ruch wewnętrzny, należy sprawdzić, w którym miejscu taka komunikacja będzie widoczna. Być może jedynym takim miejscem będzie firewall – wówczas należy dołączyć do analizy dane z niego uzyskane.

Jeżeli urządzenia sieciowe nie są w stanie wygenerować danych zgodnie z protokołem NetFlow lub jedynym dostępnym protokołem jest sFlow (zbyt niedokładny), można zastosować sondę Flowmon, która dostarczy niezbędnych informacji do centralnego kolektora. Sonda będzie też niezbędna do uzyskania pomiarów wydajności sieci, czyli jakości połączenia dla użytkowników zdalnych, oraz wglądu w warstwę L7. System Flowmon wykona również analizę behawioralną ruchu sieciowego, automatycznie wykryje zagrożenia i wskaże urządzenia będące źródłem anomalii w sieci.

Dodatkowe informacje:

Klaudyna Busza-Kujawska, Senior Presales Engineer, Flowmon, klaudyna.busza@flowmon.com