NTA چیست؟ تجزیهوتحلیل ترافیک شبکه، Network Traffic Analysis یا NTA روشی برای نظارت بر دردسترسبودن و فعالیت شبکه برای شناسایی ناهنجاریها، از جمله مسائل امنیتی و عملیاتی می باشد. موارد استفاده رایج برای NTA عبارتاند از:
- جمعآوری یک رکورد واقعی و تاریخ آن از آنچه در شبکه شما اتفاق میافتد.
- شناسایی بدافزار مانند فعالیت باجافزار.
- تشخیص استفاده از پروتکلها و رمزهای آسیبپذیر.
- عیبیابی کندی شبکه.
- بهبود دید داخلی و ازبینبردن نقاط کور.
پیادهسازی راهحلی که میتواند به طور مداوم ترافیک شبکه را نظارت کند، بینش لازم را برای بهینهسازی عملکرد شبکه، بهحداقلرساندن سطح حمله، افزایش امنیت و بهبود مدیریت منابع را به کاربران میدهد. بااینحال، دانستن نحوه نظارت بر ترافیک شبکه کافی نیست. همچنین مهم است که کاربران منابع داده را برای ابزار نظارت بر شبکه خود در نظر بگیرید. دو مورد از رایجترین آنها دادههای بهدستآمده از دستگاههایی مانند مسیریابها و دادههایی از SPAN، پورتهای آینهای و TAPهای شبکه هستند.
مزایای کلیدی تجزیهوتحلیل ترافیک شبکه
با طرز فکر «مسئله امکانپذیری نیست، زمان آن است» در مورد حملات سایبری امروز، میتواند برای متخصصان امنیتی بسیار طاقتفرسا باشد تا اطمینان حاصل کنند که تاحدامکان محیط یک سازمان را پوشش میدهد. شبکه یک عنصر حیاتی در سطح حمله آنها است. بهدستآوردن دید درداده های شبکه آنها منطقه دیگری را فراهم میکند که آنها میتوانند حملات را شناسایی کرده و آنها را زودتر متوقف کنند.
مزایای NTA چیست؟
• بهبود دید دستگاههای متصل به شبکه مانند دستگاههای اینترنت اشیا، بازدیدکنندگان مراقبتهای بهداشتی
• برآوردهسازی الزامات انطباقی
• عیبیابی مسائل عملیاتی و امنیتی
• پاسخدهی با جزئیات غنی و زمینه شبکه اضافی به تحقیقات سریعتر
مرحلهای کلیدی که در راهاندازی NTA وجود دارد، اطمینان از جمعآوری دادهها از منابع مناسب می باشد. اگر به دنبال حجم ترافیک و برنامه ریزی از سفر یک بسته شبکه از مبدأ تا مقصد هستید، دادههای جریان عالی است. این سطح از اطلاعات میتواند به شناسایی ترافیک WAN غیرمجاز و استفاده از منابع و عملکرد شبکه کمک کند، اما میتواند فاقد جزئیات و زمینه غنی برای بررسی مسائل امنیت سایبری باشد.
Packet data استخراجشده از بستههای شبکه میتواند به مدیران شبکه کمک کند تا بفهمند کاربران چگونه برنامهها را پیادهسازی/عملی میکنند، استفاده از پیوندهای WAN را ردیابی کرده و بدافزارهای مشکوک یا سایر حوادث امنیتی را نظارت کنند. ابزارهای بازرسی بسته عمیق یا DPI با تبدیل ابرداده خام به قالبی خوانا و این امکان را میدهد که مدیران شبکه و امنیت جزئیات را بهدقت بررسی کرده و بتوانند دید 100% را در شبکه فراهم نمایند.
نظارت دقیق بر محیط شبکه همیشه تمرین خوبی بوده حتی با وجود فایروالهای قوی، ممکن است اشتباهاتی رخ دهد و ترافیک کنترل نشده از آن عبور کند. کاربران همچنین میتوانند از روشهایی مانند تونلزنی، ناشناس کنندههای خارجی و VPNها برای دورزدن قوانین فایروال استفاده کنند.
علاوه بر این، ظهور باجافزار بهعنوان یک نوع حمله رایج در سالهای اخیر، نظارت بر ترافیک شبکه را حیاتیتر کرده است. یک راهحل نظارت بر شبکه باید بتواند فعالیتهایی را که نشاندهنده حملات باجافزار از طریق پروتکلهای ناامن است، شناسایی کند. بهعنوانمثال، WannaCry را در نظر بگیرید، جایی که مهاجمان به طور فعال شبکههایی را با پورت TCP 445 باز اسکن میکردند و سپس از یک آسیبپذیری در SMBv1 برای دسترسی بهاشتراکگذاری فایلهای شبکه استفاده میکردند.
پروتکل دسکتاپ از راه دور یا RDP یکی دیگر از برنامههای هدفمند رایج میباشد. بایستی اطمینان حاصل کرد که هرگونه تلاش برای اتصال ورودی در فایروال مسدود شده اند. نظارت بر ترافیک در داخل فایروالها به شما امکان میدهد قوانین را تأیید کنید، بینش ارزشمندی به دست آورید و همچنین میتوانید از آن بهعنوان منبع هشدارهای مبتنی بر ترافیک شبکه استفاده کنید.
باید مراقب هرگونه فعالیت مشکوک مرتبط با پروتکلهای مدیریتی مانند Telnet بود. ازآنجاییکه Telnet یک پروتکل رمزگذاری نشده می باشد، ترافیک جلسه توالی دستورات رابط خط فرمان یا را که برای ساخت و مدل دستگاه مناسب است نشان میدهد. رشتههای CLI ممکن است رویههای ورود، ارائه اطلاعات کاربری کاربر، دستورات برای نمایش تنظیمات بوت یا در حال اجرا، کپیکردن فایلها و موارد دیگر را نشان دهند. مطمئن شوید که دادههای شبکه خود را برای دستگاههایی که از پروتکلهای مدیریت رمزگذاری نشده استفاده میکنند، مانند:
• شبکه راه دور
• پروتکل انتقال برمتن (HTTP، پورت 80)
• پروتکل مدیریت شبکه ساده (SNMP، پورتهای 161/162)
• Cisco Smart Install (درگاه SMI 4786)
هدف از NTA چیست؟
بسیاری از مسائل عملیاتی و امنیتی را میتوان با پیادهسازی تحلیل ترافیک شبکه در لبه شبکه و هسته شبکه بررسی کرد. با ابزار تجزیهوتحلیل ترافیک، میتوانید مواردی مانند دانلودهای زیاد، جریان یا ترافیک ورودی یا خروجی مشکوک را شناسایی کنید. مطمئن شوید که با نظارت بر رابطهای داخلی فایروالها شروع کردهاید که به شما امکان میدهد فعالیتها را به کاربران یا کاربران خاص ردیابی کنید.
NTA همچنین سازمان را با دید بیشتری نسبت به تهدیدات در شبکههای خود، فراتر از نقطه پایانی، فراهم میکند. با افزایش دستگاههای تلفن همراه، دستگاههای IoT، تلویزیونهای هوشمند و غیره، به چیزی با هوش بیشتر از گزارشهای فایروالها نیاز دارند. گزارشهای فایروال نیز زمانی که شبکه مورد حمله قرار میگیرد، مشکلساز هستند. ممکن است متوجه شوید که به دلیل بارگیری منابع روی فایروال غیرقابلدسترسی هستند یا بازنویسی شدهاند، حتی گاهی اوقات توسط هکرها اصلاح شدهاند که منجر به ازدسترفتن اطلاعات حیاتی میشود.
برخی از موارد استفاده برای تجزیهوتحلیل و نظارت بر ترافیک شبکه عبارتاند از:
• شناسایی فعالیت باجافزار
• نظارت بر استخراج دادهها/فعالیتهای اینترنتی
• نظارت بر دسترسی به فایلها در سرورهای فایل یا پایگاههای داده MSSQL
• ردیابی فعالیت کاربر در شبکه، با وجود گزارش Forensics کاربر
• ارائة فهرستی از دستگاهها، سرورها و سرویسهایی که در شبکه در حال اجرا هستند
• مشخصکردن و شناسایی علت اصلی پیک پهنای باند در شبکه
• ارائة داشبوردهای بلادرنگ با تمرکز بر شبکه و فعالیت کاربر
• ایجاد گزارش فعالیت شبکه برای مدیریت و حسابرسان برای هر دوره زمانی
در یک راهحل تجزیهوتحلیل و نظارت بر ترافیک شبکه به دنبال چه چیزی باشید
همه ابزارهای نظارت بر ترافیک شبکه یکسان نیستند. بهطورکلی، آنها را میتوان به دو نوع تقسیم کرد: ابزارهای مبتنی بر جریان و ابزارهای بازرسی، Deep Packet Inspection یا DPI. در این ابزارها گزینههایی برای عوامل نرمافزاری، ذخیره دادههای تاریخی و سیستمهای تشخیص نفوذ خواهید داشت. هنگام ارزیابی اینکه کدام راهحل برای سازمان شما مناسب است، این پنج مورد را در نظر بگیرید:
1. دردسترسبودن دستگاههای دارای جریان: آیا در شبکه خود دستگاههای دارای جریان را دارید که قادر به تولید جریانهای موردنیاز یک ابزار NTA بوده و فقط جریانهایی مانند Cisco Netflow را میپذیرد؟ ابزارهای DPI ترافیک خام که در هر شبکه از طریق هر سوئیچ مدیریت شده یافت میشود و مستقل از فروشنده هستند را میپذیرند. سوئیچها و روترهای شبکه به هیچ ماژول یا پشتیبانی خاصی نیاز ندارند، فقط از یک SPAN یا آینه پورت از هر سوئیچ مدیریت شده عبور میکنند.
2. منبع داده: دادههای جریان و دادههای بسته از منابع مختلف میآیند و همه ابزارهای NTA هر دو را جمعآوری نمیکنند. مطمئن شوید که ترافیک شبکه خود را بررسی کرده و تصمیم بگیرید که کدام قطعات حیاتی هستند، و سپس قابلیتها را با ابزارها مقایسه کنید تا مطمئن شوید همه چیزهایی که نیاز دارید پوشش داده شده است.
3. نقاط موجود در شبکه: در نظر بگیرید که آیا ابزار از نرمافزار مبتنی بر عامل یا بدون عامل استفاده میکند. همچنین مراقب باشید که بسیاری از منابع داده را مستقیماً از دروازه نظارت نکنید. در عوض، مراقب انتخاب مکانهایی که دادهها در آنها همگرا میشوند، مانند دروازههای اینترنتی یا VLAN های مرتبط با سرورهای حیاتی باشید،.
4. دادههای زمان واقعی در مقابل Historical Data: لازم است بدانید Historical Data برای تجزیهوتحلیل رویدادهای گذشته بسیار مهم هستند، اما برخی از ابزارها برای نظارت بر ترافیک شبکه باگذشت زمان آن دادهها را حفظ نمیکنند. همچنین بررسی کنید که آیا ابزار بر اساس مقدار دادهای که میخواهید ذخیره کنید، قیمت دارد یا خیر. درک روشنی از دادههایی که بیشتر به آن اهمیت میدهید داشته باشید تا بهترین گزینه را متناسب با نیازها و بودجه خود پیدا کنید.
5. Full Packet Capture، هزینه و پیچیدگی: برخی از ابزارهای DPI همه Packet ها را ضبط و نگهداری میکنند.
نتیجه
تجزیهوتحلیل ترافیک شبکه یک راه ضروری برای نظارت بر دردسترسبودن و فعالیت شبکه برای شناسایی ناهنجاریها، به حداکثر رساندن عملکرد و مراقبت از حملات می باشد. در کنار جمعآوری گزارش، UEBA و Endpoint Dataها، ترافیک شبکه یک بخش اصلی از تحلیل جامع دید و امنیت برای کشف سریع تهدیدها و خاموشکردن سریع آنها می باشد. هنگام انتخاب راهحل NTA، نقاط کور فعلی شبکه خود، منابع دادهای که از آنها به اطلاعات نیاز دارید و نقاط بحرانی شبکه که در آن برای نظارت کارآمد همگرا میشوند را در نظر بگیرید. با افزودن NTA بهعنوان یکSIEM، حتی بیشتر از محیط و کاربران خود دیده خواهید شد.
