Atferdsanalyse gir bedre nettovervåking

Gartner mener at «network behavior analysis» kan gi bedre overvåking av IT-infrastrukturen.

I løpet av de siste fire årene har en teknologi kjent som «nettverk atferdsanalyse» («network behavior analysis») dukket opp i overvåkingsprodukter fra blant annet Cisco og Juniper, kjent som henholdsvis NetFlow og cFlow/jFlow. Gartner-analytiker Paul Proctor har sett på teknologien, og mener den kan bidra til en avgjørende sikkerhetsgevinst, forutsatt at den brukes korrekt.

Tidligere brukte Gartner betegnelsen «nettbasert oppdagelse av uregelmessigheter» («network based anomaly detection») men valgte å gå over til atferdsanalyse fordi ordet «uregelmessighet» ble misforstått.

– Mange mener at en «uregelmessighet» er å oppdage for eksempel en bestemt bitsekvens i en datautveksling, som ikke burde vært der. Med den nye betegnelsen vil vi understreke at det analysen går ut på, er å avdekke uregelmessigheter som man ikke kjenner til på forhånd, men som man oppdager gjennom atferdsovervåking, fordi man har erfaring for hva en normal atferd utgjør.

Nettverk atferdsanalyse går ut på å se på trafikken på nettverket, reagere på unormal trafikk, varsle om det unormale, begrunne hvorfor det er unormalt, og gi informasjon slik at IT-personalet har et grunnlag for å avgjøre hvordan de skal reagere.

– Dette står i motsetning til den deterministiske tilnærmingen som brukes i IPS/IDS [«intrusion prevention system» / »intrusion detection system»], der man vet på forhånd hva man skal lete etter. Nettverk atferdsanalyse er et verktøy innen både drift og sikkerhet. Det supplerer verktøy for IDS/IPS og for SIEM («security information and event management»). Du kan ha IDS, IPS og SIEM og likevel fortsatt erfare problemer, også når du har tilnærmet optimal konfigurering av disse verktøyene.

Et viktig poeng med NBA, som Proctor etter hvert går over til å kalle nettverk atferdsanalyse, er at det ikke kan brukes, eller helst ikke bør brukes, til automatiserte tiltak. Varslene må gjennom kyndig personell før noe videre kan gjøres. Teknologien setter med andre ord høye krav til kompetanse.

Proctor har et viktig eksempel på hvilken forskjell NBA kan gjøre i en stor organisasjon. Den implementerte NBA etter en grufull erfaring med ormen Nimda som påførte dem fire dagers nedtid. Da ormen Mytob slo til, sørget NBA for en informert varsling, slik at det tok IT-avdelingen bare 45 minutter å få hele nettverk tilbake i normal drift.

– Mange faktorer avgjør hvor effektiv NBA kan være. Stabilitet og konsistens i miljøet og bruken av nettverket gjør at teknologien har lettere for å avdekke også små avvik fra det normale. Kompetansen og erfaringen til dem som skal bruke verktøyet, er også helt avgjørende.

Erfaringene med NBA er at det kan avverge farer som vanlig snokvarsling overser, for eksempel at systemet er kompromittert og sender data til uvedkommende.

NBA kan også avdekke falske IP-adresser, ved å spore tilbake til MAC-adressen. Andre eksempler er å avdekke unormalt lav nettverktrafikk som tyder på at viktige noder er nede, unormal trafikk som genereres av delvis ødelagte nettkort før de svikter helt, og zombie-infeksjoner hos klienter.

– En myte som har spredd seg om NBA er at det kan avverge nulldagstrusler. Det er ikke tilfellet. NBA kan oppdage nulldagstrusler og hjelpe til med å demme oppfor dem når de slår til. På den andre siden er det sant at NBA kan oppfattes som siste skanse i forsvarssystemet.

Gartner tror at 25 prosent av store bedrifter vil implementere NBA innen utgangen av 2007. Proctor anbefaler at man venter med NBA til man har fått på plass godt konfigurerte og fininnstilte brannmurer og systemer for snokvarsling. Implementeringen av NBA må ta hensyn til at teknologien er krevende å sette seg inn i og at den må brukes hyppig for å være nyttig.

Til toppen