FlowMon – FlowMon ADS

FlowMon ADS to nowoczesny system wykrywania anomalii w danych sieciowych oraz niepożądanych zachowań w sieci. Bazuje on na nieprzerwanej ewaluacji danych statystycznych dotyczących sieci (dane NetFlow). System dostępny jest w postaci dodatkowego pluginu dla sond (FlowMon Probe) oraz kolektorów (FlowMon Collector). Jego zadaniem jest wykrywanie zagrożeń operacyjnych oraz zagrożeń bezpieczeństwa, a tym samym zwiększanie zewnętrznego i wewnętrznego bezpieczeństwa danych sieciowych. Główną zaletą systemu w porównaniu do standardowych systemów wykrywania wtargnięć (IDS) oraz systemów SNMP jest zorientowanie w zakresie ogólnego zachowania urządzeń sieciowych. Właściwość ta umożliwia reagowanie na jeszcze nieznane lub specyficzne zagrożenia, które nie posiadają jeszcze odpowiadających im sygnatur.

Główne właściwości oraz metody detekcji

Plugin FlowMon ADS oferuje dwa główne sposoby gwarantujące skuteczne wykrywanie anomalii oraz niepożądanych zachowań w sieci. Pierwszy sposób oparty jest na dopasowywaniu wzorców zachowań obserwowanych w komunikacji sieciowej. W przeciwieństwie do innych systemów FlowMon ADS nie analizuje zawartości pakietów, lecz całość zachodzącej komunikacji (źródłowe i docelowe adresy IP, wykorzystywane porty, flagi TCP, czas komunikacji i wiele innych). Umożliwia proste wykrywanie takich zdarzeń jak ataki (skanowanie portu, ataki słownikowe), niepożądane aplikacje (sieci P2P, usługi anonimizujące), zainfekowane komputery (wirusy, spyware) oraz wiele innych.

Drugi sposób oparty jest na ewaluacji zachowań hostów sieciowych oraz zmian tych zachowań w porównaniu do długoterminowego profilu. Jest to nowoczesna metoda określana mianem analizy zachowania sieciowego/wykrywaniem anomalii zachowania sieciowego (z ang. network behavior analysis/network behavior anomaly detection NBA/NBAD). Główną zaletą tej metody jest wykrywanie zdarzeń, które pozostają niewykrywalne dla innych systemów oraz mogą zostać sklasyfikowane jako pełnoprawna transmisja. Przykłady obejmują kradzież tożsamości oraz masowe pobieranie plików należących do organizacji, zainfekowane urządzenia (spam wychodzący, próby infekowania innych urządzeń), problemy operacyjne (błędne aktualizacje, nadmierne obciążenie zasobów) i inne.

Interaktywna wizualizacja zdarzeń

Użytkownik ma możliwość uzyskania szczegółowych informacji na temat wykrytych zdarzeń, które pozwalają na szybką reakcję na niepożądane zachowania. Aby usprawnić i przyspieszyć pracę zdarzenia wizualizowane są w postaci zorientowanych wykresów. Za pomocą kilku kliknięć myszką użytkownicy mają możliwość przechodzenia pomiędzy różnymi poziomami szczegółowości.

Ocena i analiza raportowanych zdarzeń w postaci ukierunkowanych wykresów obrazujących transmisję, która doprowadziła do danego zdarzenia
Interaktywne przewodniki, funkcje wyświetlające informacje powiązane ze zdarzeniem; udostępnia dane na poziomie szczegółowości odpowiadającym pojedynczym transmisjom
Eksport statystyk na temat transmisji sieciowej, która spowodowała dane zdarzenie; forma eksportu umożliwia udowodnienie zaistnienia zdarzenia

Profile behawioralne

Długoterminowe statystyki dotyczące sieci oraz komunikacji każdego hosta w sieci umożliwiają pluginowi FlowMon ADS monitorowanie całej sieci oraz informowanie o jakichkolwiek zmianach zachodzących w jej zachowaniu lub zachowaniu hostów. Profile behawioralne FlowMon ADS dla hostów sieciowych obejmują:

Objętości transmisji danych (dane transmitowane, zliczanie połączeń)
Strukturę usług (usługi wykorzystywane i świadczone)
Partnerów w komunikacji
Wyszukiwanie serwerów sieciowych oraz klientów
Wyszukiwanie urządzeń świadczących lub wykorzystujących usługi sieciowe
Ogólny przegląd struktury transmisji
Szczegółowy profil dla każdego adresu IP, trendy monitoringu

Główne korzyści
  • Uzyskanie szczegółowego przeglądu struktury transmisji sieciowej oraz czołowych użytkowników
  • Ocena zgodności z wytycznymi i regulacjami bezpieczeństwa
  • Wykrywanie ataków wewnętrznych i zewnętrznych
  • Monitorowanie jakości usług
  • Eliminacja niechcianych aplikacji
  • Wykrywanie zainfekowanych urządzeń sieciowych
  • Zapobieganie wykorzystywaniu niepożądanych programów oraz współdzieleniu nielegalnej zawartości
  • Kontrola wychodzącej transmisji sieciowej, ochrona reputacji przedsiębiorstwa
  • Szybka diagnoza opóźnień dla sieci, usług i aplikacji
  • Wykrywanie błędnej konfiguracji sieci oraz urządzeń sieciowych

Właściwości

  • Predefiniowany zestaw reguł służących do wykrywania wzorców niepożądanego zachowania
  • Predefiniowany zestaw reguł służących do wykrywania ogólnych anomalii sieciowych
  • Budowanie długoterminowych profili behawioralnych dla urządzeń sieciowych w zakresie usług, natężenia transmisji oraz wzorców komunikacji
  • Kompleksowa tablica rozdzielcza na bieżąco wskazująca problemy oraz najważniejsze statystyki
  • Interaktywna wizualizacja zdarzeń
  • Integracja informacji z modułów DNS, WHOIS oraz serwisów geolokacyjnych
  • Kompleksowe opcje filtrowania oraz nadawania priorytetów zdarzeniom, które połączone są z funkcjami raportującymi i alarmującymi
  • Obsługa NetFlow v5/v9, IPv4 oraz IPv6
  • Implementacja rozszerzenia przepływu dwukierunkowego (bidirectional flow; RFC 5103)

Wykrywanie anomalii oraz niepożądanych zachowań

Na podstawie predefiniowanych wzorców zachowań oraz analizy behawioralnej plugin FlowMon ADS wykrywa następujące anomalie oraz niepożądane zachowania w sieci komputerowej:

  • Ataki (skanowanie portów, ataki słownikowe, ataki Denial of Service, protokół Telnet)
  • Anomalie w transmisji danych (DNS, multicast, niestandardowa komunikacja)
  • Anomalie w zachowaniu urządzeń (zmiany długoterminowego profilu zachowania danego urządzenia)
  • Niepożądane aplikacje (sieci P2P, komunikatory internetowe, usługi anonimizujące)
  • Aspekty związane z bezpieczeństwem wewnętrznym (wirusy, spyware, botnety)
  • Transmisja wiadomości email (spam wychodzący)
  • Problemy operacyjne (opóźnienia, nadmierne obciążenie, odwrócone wpisy DNS, błędne aktualizacje)