Информационная безопасность является одним из ключевых элементов для современного бизнеса. Утечка данных может привести к финансовым и репутационным потерям, причем передача важной информации может быть осуществлена как намеренно, так и неумышленно.
Согласно исследованию компании Positive Technologies, нарушение регламента информационной безопасности было выявлено в 100% проанализированных компаний. Большая часть проблем была связана с наличием вредоносного программного обеспечения и попытками подбора паролей.
Чтобы избежать подобных проблем, можно использовать мониторинг сетевого трафика. Стандартные способы контроля трафика предназначены не для всех угроз — такие решения предназначены для выявления потенциальных опасностей по периметру инфраструктуры, однако не справляются при попытке внедрения изнутри.
Далее мы рассмотрим, как работает данное решение, приведем примеры популярных систем, а также расскажем, как настроить их для эффективной работы.
Какой принцип работы мониторинга сети?
Система работает по незамысловатому принципу: наличие доступа ко всей передаваемой информации позволяет анализировать ее для составления поведенческого портрета.
Как только система распознает нетипичное поведение, системный администратор получает уведомления, а затем проверяет устройство, из которого исходит подозрительный трафик.
Главное преимущество такого подхода — возможность детально изучить все угрозы информационной безопасности, а также источники их распространения. Благодаря анализу можно обнаружить узлы, которые подвергнуты наибольшей угрозе, и устранить выявленную неисправность.
Кроме того, полученные данные применимы для аналитики локальной сети с целью ее дальнейшего расширения с минимизацией возможных угроз.
Анализ состояния сети
Исследование трафика подразделяется на два этапа: мониторинг и анализ. В рамках первого из них осуществляется сбор данных об использовании локальной сети: статистика работы, количество различных пакетов и протоколов, состояние оборудования.
На базе полученной информации осуществляется анализ состояния сети. Сначала составляется портрет трафика, который проходит через сервер, после чего проводится сравнение новой информации и проверка на наличие возможных угроз.
Такой подход позволяет найти уязвимые места в работе сети и сетевого оборудования, а также возможные причины замедления передачи данных.
Использование протоколов для мониторинга
При мониторинге сетевого трафика используются различные протоколы. Специалисты «Инжетерры» рекомендуют при выборе протоколов учитывать не только функциональные возможности, но и специфические потребности вашей сети, что поможет обеспечить более высокий уровень информационной безопасности.
Выбор наилучшего из них позволяет сэкономить ресурсы системы и улучшить распознавание угроз.
Основными из них являются:
-
SNMP-протокол — предназначен для управления устройствами в IP-сетях. Он является достаточно распространенным, однако несет в себе уязвимости перед атаками грубой силы и словарным перебором.
-
NetFlow — сетевой протокол от Cisco для учета сетевого трафика. Может использоваться на устройствах под управлением не самых распространенных устройств. Отличительной чертой является возможность экономии ресурсов процессора, однако при этом NetFlow подвержен потере пакетов.
-
Packet Sniffing — в данном случае используется устройство или программное обеспечение, которое считывает и анализирует сетевой трафик. При этом такой метод может использоваться как для нейтрализации угроз, так и для кражи данных.
-
WMI — стандартный протокол для контроля сетевых данных на устройствах под управлением ОС Windows, который невозможно применить на других операционных системах.
Как можно заметить, каждый протокол обладает как преимуществами, так и недостатками — при этом подходящее решение для мониторинга способно значительно повысить безопасность компьютеров на предприятии.
Функционал системы мониторинга
Современные системы способны решать целый ряд задач, направленных на защиту корпоративной информации:
- мониторинг сети и приложений для сбора данных об использовании трафика;
- выявление уязвимостей, связанных с виртуализацией и операционными системами;
- аналитика с целью выявления проблем в сети;
- анализ захваченных приложений и потоков;
- поиск реальной причины произошедшего инцидента или возникшей проблемы.
Важно понимать, что выбранный протокол, либо решение влияет на детализацию выполнения каждой из этих задач. Большая точность инструмента способна значительно повысить безопасность передачи данных в пределах локальной сети.
Как выбрать подходящую систему мониторинга для локальной сети?
Владельцам бизнеса, который не связан с IT-индустрией, может быть достаточно сложно разобраться в разнообразии предложений из данной сферы. В данном случае вам может помочь профессиональное обслуживание локальных сетей.
Далее мы рассмотрим основные критерии выбора подходящего решения, а также сравним популярные системы — так вы сможете получить базовое представление о предложениях, которые есть на рынке.
Основные критерии выбора
В первую очередь вам стоит обратить внимание на стоимость решения: бесплатной системе мониторинга часто недостает удобного интерфейса, также в ней отсутствует продвинутый функционал — дело в том, что часто они поддерживаются энтузиастами, которые вносят только самые важные исправления.
Платное программное обеспечение лишено этих недостатков, однако его цена может оказаться слишком большой для малого бизнеса, в локальной сети которого передается небольшой объем данных.
Также изучите простоту настройки и удобство интерфейса ПО. Работа системы не зависит от этих факторов, однако если у вас в штате нет опытного системного администратора, то наблюдать за всеми и получать информацию о сети будет затруднительно.
Узнайте, может ли программа отправлять уведомления о появлении необычной активности. Если нет, то высока вероятность пропуска угрозы.
Последний, но не по важности, критерий — совместимость с операционной системой вашего оборудования. Если вы выберете вариант, который предназначен только под Windows, а у вас другая ОС, то такая программа попросту не запустится.
Обзор популярных систем мониторинга (Nagios, Observium, PRTG)
Давайте рассмотрим одни из наиболее популярных систем, чтобы выявить их преимущества и недостатки:
- Nagios — бесплатное программное обеспечение, которое разрабатывается уже долгие годы. В нем можно выполнять все функции, которые требуются системному администратору. Программа предлагает информативный, но не самый удобный интерфейс. Масса плагинов позволяет кастомизировать проверки, чтобы извлекать нужную информацию. Программа предлагает массу возможностей, однако многие из них не стоят усилий к реализации.
- Observium — программа с поддержкой огромного количества устройств, которая работает по протоколу SNMP. Для его установки и использования не требуются какие-либо серьезные манипуляции, а сам он принимает вид обычного виртуального сервера с выделенным URL-адресом. Благодаря тому, что Observium работает как виртуальная машина, он может использоваться как базовый канал для мониторинга устройств в сети. При этом ПО распространяется бесплатно.
- PRTG — условно-бесплатное программное обеспечение с 30-дневным тестовым периодом. Предлагает возможность сбора информации через различные протоколы и удобный формат демонстрации статистики. При этом вывод информации возможен через браузерное расширение. Учтите, что цена на полную версию ПО начинается от 200 долларов и доходит до 1500 долларов в месяц, в зависимости от количества устройств в сети.
Сравнение бесплатных и платных решений
Как можно заметить, бесплатное программное обеспечение предоставляет набор функций, достаточный для организации мониторинга сетевой инфраструктуры. При этом, в зависимости от количества устройств в сети, вам могут понадобиться и платные решения.
Несмотря на высокую стоимость, они обеспечивают уровень безопасности, при котором можно практически моментально выявить любую угрозу безопасности. Не стоит забывать, что бесплатные системы модернизируются энтузиастами, из-за чего в них могут быть уязвимости.
Какие основные задачи решает мониторинг сетевой инфраструктуры?
Система направлена на решение целого комплекса задач, связанного с обеспечением информационной безопасности.
Отказ от применения такого решения влечет за собой массу угроз, связанных как с умышленным взломом устройств в локальной сети, так и с нарушениями протоколов со стороны ваших сотрудников.
Мониторинг состояния серверов и узлов сети
В первую очередь система собирает сведения обо всех устройствах внутри сети, а также трафике, который через них проходит. Благодаря мониторингу появляется простор для проведения аналитики и дальнейшего выявления нарушений.
Все решения на рынке осуществляют сбор информации: отличается лишь ее детализация, а также ограничения, связанные с особенностями инфраструктуры.
Анализ трафика и агентов
На основе полученной информации система создает типичный портрет сети, который можно использовать для выявления нарушений, аварий и неполадок. Периодически он корректируется для использования актуального профиля.
Как и в случае с мониторингом, здесь важна ширина функционала выбранного решения и лимиты на количество девайсов в рамках сети.
Отправка уведомлений об авариях и неполадках
В случае нарушения информационной безопасности, а также выявления аварий и неполадок, программное обеспечение отправляет уведомление системному администратору.
В данной ситуации системы отличаются количеством вспомогательной информации, которое получит специалист для решения проблемы и недопущения ее развития.
Как настроить систему мониторинга для эффективной работы?
В зависимости от выбранного вами программного обеспечения, будет серьезно отличаться порядок настройки системы для эффективной работы. Одни решения потребуют лишь загрузки ПО и прописывания пары команд в консоль, а для других придется полноценно знать языки программирования. Далее рассмотрим наиболее важные этапы.
Настройка оборудования и серверов для мониторинга
Конфигурация серверов может осуществляться внутри самого приложения, либо через командную строку — на это влияет тип выбранного решения. Нужно подбирать такое решение, которое можно без проблем ввести в эксплуатацию с учетом навыков вашего системного администратора.
Особое внимание уделите ПО, которое настраивается через командную строку — для новичков такое решение будет не самым удобным, однако если у специалиста прежде был опыт работы с файлами конфигурации Linux/Unix, то проблем возникнуть не должно.
Использование протокола SNMP для сбора информации
SNMP является протоколом, который позволяет организовать стандартизированный сбор информации и настройки параметров, что крайне удобно для работы сетевых администраторов.
Существует три версии протокола: в первых двух из них есть значительные уязвимости, которые могут негативно сказаться на безопасность данных. Последнее же обновление содержит аутентификацию, шифрование и контроль доступа.
Учтите, что сам по себе SNMP является лишь протоколом, а за его реализацию могут отвечать различные инструментарии.
Автоматизация процесса обнаружения нового оборудования в сети
Последним шагом является подключение автоматического обнаружения нового оборудования в локальной сети. Для этого используется специальная настройка SNMP, при которой все подключаемые устройства опрашиваются без участия человека в рамках удаленного доступа.
Важно заметить, что в первой и второй версиях протокола данный подход может повлечь за собой угрозу безопасности, из-за чего запросы от системы будут транслироваться на принимающем оборудовании без шифрования.
Из-за этого нужно заранее определить, какая версия SNMP будет использоваться, а также целесообразно ли применять автоматизацию обнаружения оборудования.
Комментарии