تحلیل ترافیک شبکه یا NTA چیست
تحلیل ترافیک شبکه یا NTA روشی است برای نظارت بر دسترسپذیری و فعالیت شبکه جهت شناسایی ناهنجاریهایی مانند مشکلات امنیتی و عملیاتی. از جمله موارد استفاده معمول NTA میتوان به موارد زیر اشاره کرد:
- جمعآوری رکوردهای لحظهای و همچنین سابقهای از آنچه در شبکه رخ میدهد
- شناسایی بدافزارها مانند فعالیت باجافزاری
- تشخیص استفاده از پروتکلها و رمزهای آسیبپذیر
- عیبیابی شبکههای کند
- بهبود دید داخلی و حذف نقاط کور
پیادهسازی راهکاری که بتواند به طور پیوسته بر ترافیک شبکه نظارت کند منجر به دستیابی به بینش موردنیاز برای بهینهسازی عملکرد شبکه، کاهش سطح حمله، ارتقاء امنیت و بهبود مدیریت منابع میشود. با این حال، تنها دانستن نحوه نظارت بر ترافیک شبکه ناکافی است و توجه به منابع داده مناسب برای ابزارهای نظارت بر شبکه نیز از اهمیت زیادی برخوردار است؛ «دادههای جریان»[۲] (که از طریق دستگاههایی مانند روترها به دست میآیند) و «دادههای بسته»[۳] (که از SPAN[۴]، پورتهای Mirror و TAP[۵]های شبکه به دست میآیند) دو مورد از رایجترین منابع داده در این زمینه هستند.
مزایای کلیدی تحلیل ترافیک شبکه یا NTA
دیدگاه نوین درباره حملات سایبری این است که این حملات دیر و زود، اما با احتمال بسیار زیاد برای هر سازمانی رخ خواهند داد. با توجه به این دیدگاه، پوشش تا حد امکان محیط یک سازمان برای متخصصان امنیتی میتواند بسیار طاقتفرسا و دشوار باشد. شبکه یکی از عناصر حیاتی در سطح حمله است که با به دست آوردن دید نسبت به دادههای آن، متخصصان میتوانند حملات را در بدو شکلگیری شناسایی و متوقف کنند. از جمله مزایای تحلیل ترافیک شبکه یا NTA میتوان به موارد زیر اشاره کرد:
- افزایش دید در دستگاههای متصل به شبکه (مانند دستگاههای اینترنت اشیا، دستگاههای مراقبت پزشکی و …)
- برآوردهسازی نیازمندیهای انطباقی
- رفع عیب مشکلات امنیتی و عملیاتی
- پاسخ سریعتر به تحقیقات و با جزئیات و اطلاعات زمینهای بیشتر درباره شبکه
اطمینان از جمعآوری دادهها از منابع مناسب یک گام کلیدی در راهاندازی NTA است. دادههای جریان برای ردیابی «حجم ترافیک»[۶] و نقشهبرداری از مسیر یک بسته شبکه از منبع به مقصد بسیار عالی هستند. این سطح از اطلاعات میتواند به شناسایی ترافیک WAN غیرمجاز و بهکارگیری منابع شبکه کمک کند، اما میتواند فاقد جزئیات و اطلاعات زمینهای غنی برای بررسی مشکلات امنیت سایبری باشد.
«دادههای بسته» که از بستههای شبکه استخراج میشوند، میتوانند به مدیران شبکه در درک نحوه پیادهسازی یا استفاده از برنامهها توسط کاربران، ردیابی استفاده از لینکهای WAN و نظارت بر فایلهای مشکوک به بدافزار و دیگر رویدادهای امنیتی کمک کنند. ابزارهای «بازرسی بسته عمیق»[۷] (DPI)، با تبدیل فرادادههای خام به فرمتی قابل خواندن و ارائه امکان واکاوی دقیق حتی کوچکترین جزئیات، قادر هستند تا دید کاملی نسبت به شبکه را در اختیار مدیران شبکه و امنیت قرار دهند.
اهمیت تحلیل ترافیک شبکه
مراقبت از محیط شبکه همیشه اقدامی مطلوب است. چرا که حتی با وجود فایروالهای قدرتمند، ممکن است اشتباهاتی رخ داده و ترافیک نامناسب از آنها عبور کند یا کاربران از روشهایی مانند Tunneling، ناشناسسازهای[۸] بیرونی و VPNها، برای دور زدن قوانین فایروالها استفاده کنند.
گسترش باجافزارها به عنوان نوعی رایج از حملات در سالهای اخیر، بر اهمیت نظارت بر ترافیک شبکه افزوده است. یک راهکار نظارت بر شبکه باید قادر به شناسایی فعالیتهای نشاندهنده حملات باجافزاری از طریق پروتکلهای ناامن باشد. به عنوان مثال، در مورد باجافزار WannaCry، مهاجمین با اسکن فعالانه به جستجوی شبکههایی با پورت TCP شماره ۴۴۵ باز میپرداخته و در ادامه از یک آسیبپذیری در SMBv1 برای دسترسی به فایلهای شبکه استفاده میکردهاند.
پروتکل RDP یا Remote Desktop Protocol یکی دیگر از برنامههایی است که به طور معمول مورد حمله واقع میشود. با توجه به این موضوع، باید اطمینان حاصل شود که هر گونه تلاش برای اتصال به منابع داخلی در فایروال مسدود میشود. نظارت بر ترافیک درون فایروال، امکان اعتبارسنجی قوانین و بینشی ارزشمند را فراهم کرده و میتواند به عنوان یک منبع برای هشدارهای مبتنی بر ترافیک شبکه مورد استفاده قرار گیرد.
از آنجا که Telnet یک پروتکل رمزگذاری نشده است، ترافیک Session، دنباله دستورات CLI[۹] برای ساخت و مدل دستگاه را نشان میدهد؛ در نتیجه باید مراقب هر گونه فعالیت مشکوک مرتبط با Telnet و همچنین دیگر پروتکلهای مدیریتی بود. رشتههای CLI ممکن است رویههای ورود[۱۰]، Credentialهای کاربران، دستورات نمایش Boot یا اجرای پیکربندی، کپی کردن فایلها و دیگر مواردی از این دست را آشکار کنند. در نتیجه، باید دادههای شبکه را در مورد هر دستگاهی که پروتکلهای مدیریت رمزگذاری نشده، مانند موارد زیر، را اجرا میکند بررسی نمود:
- Telnet
- Hypertext Transport Protocol (HTTP, port 80)
- Simple Network Management Protocol (SNMP, ports 161/162)
- Cisco Smart Install (SMI port 4786)
هدف از آنالیز و نظارت بر ترافیک شبکه چیست
با پیادهسازی تحلیل ترافیک شبکه هم در لبه و هم در مرکز آن، میتوان به بررسی بسیاری از مسائل عملیاتی و امنیتی پرداخت. با استفاده از ابزار تحلیل ترافیک، میتوان مواردی مانند دانلودهای حجیم و Streaming یا ترافیک مشکوک ورودی و خروجی را مشاهده کرد. بدین منظور باید اطمینان حاصل شود که فرایند با نظارت بر Internal interface فایروالها، که امکان ردیابی فعالیتها به یک کاربر و کلاینت مشخص را میدهند، آغاز شود.
در مقایسه با نقاط پایانی، تحلیل ترافیک شبکه دید بیشتری نسبت به تهدیدات وارده به شبکه یک سازمان ارائه میکند. اهمیت این مساله در این است که با توجه به افزایش تعداد دستگاههای سیار، دستگاههای اینترنت اشیا، تلویزیونهای هوشمند و …، به چیزی با اطلاعات بیشتر نسبت به Logهای فایروال نیاز است. همچنین باید توجه نمود که در زمان وقوع یک حمله، Logهای فایروال به خودی خود نیز ممکن است مشکلساز باشند. چرا که ممکن است به دلیل بارگیری منابع بر روی فایروال غیرقابل دسترس شده یا اینکه جایگزین شده باشند، حتی در برخی مواقع توسط هکرها تغییر یافته باشند و در نتیجه آن، اطلاعات حیاتی موردنیاز برای فارنزیک (Forensic) از بین بروند.
در ادامه، برخی از موارد استفاده تجزیه و تحلیل و نظارت بر شبکه بیان میشود:
- تشخیص فعالیت باجافزار
- نظارت بر استخراج غیرقانونی دادهها[۱۲]و فعالیت اینترنت
- نظارت بر دسترسی به فایلها بر روی سرورهای فایل یا پایگاههای داده MSSQL
- ردیابی فعالیت یک کاربر در شبکه، از طریق گزارشدهی فارنزیک کاربر
- ارائه فهرستی از دستگاهها، سرورها و سرویسهای در حال اجرا بر روی شبکه
- مشخص کردن و شناسایی دلیل اصلی افزایش اشغال پهنای باند شبکه
- ارائه داشبوردهایی بلادرنگ متمرکز بر فعالیت کاربر و شبکه
- تولید گزارشهای فعالیت شبکه برای مدیران و حسابرسان برای هر بازه زمانی دلخواه
عوال مهم در انتخاب یک راهکار آنالیز و نظارت بر ترافیک شبکه یا NTA
همه ابزارهای نظارت بر ترافیک شبکه مثل هم نیستند. این ابزارها را میتوان به طور کلی به دو دسته تقسیمبندی کرد: ابزارهای مبتنی بر جریان[۱۳] و ابزارهای بازرسی بسته عمیق (DPI). از طریق این ابزارها، انتخابهایی برای Agentهای نرمافزاری، ذخیره دادههای مربوط به گذشته و سیستمهای تشخیص نفوذ میتوان انجام داد. در هنگام ارزیابی راهکار مناسب سازمان، ۵ نکته اساسی وجود دارد که باید آنها را در نظر گرفت:
- در دسترس بودن دستگاههای مجهز به جریان: آیا شبکه دارای دستگاههای مجهز به جریانی است که قادر به تولید جریان موردنیاز توسط یک ابزار NTA باشند؟ ابزارهای DPI ترافیک خام را میپذیرند که از طریق سوئیچهای مدیریت شده بر روی هر شبکهای وجود داشته و مستقل از فروشنده هستند. سوئیچها و روترهای شبکه به ماژول یا پشتیبانی خاصی نیاز ندارند، تنها دریافت ترافیک از یک SPAN یا پورت Mirror از هر سوئیچ مدیریت شدهای کفایت میکند.
- منبع داده: دادههای جریان و دادههای بسته از منابع مختلفی به دست میآیند و همه ابزارهای NTA قادر به جمعآوری هر دو نوع این دادهها نیستند. باید با بررسی ترافیک شبکه، در مورد اینکه کدام نوع داده حیاتی است، تصمیمگیری شده و در ادامه با مقایسه قابلیتها با ابزارها، اطمینان حاصل شود که تمام موارد موردنیاز پوشش داده شدهاند.
- نقاط بر روی شبکه: استفاده ابزار از نرمافزار مبتنی بر Agent یا نرمافزار بدون Agent نکته اساسی دیگری است که باید به آن توجه شود. علاوهبراین، باید مراقب بود که نظارت زیادی صرف منابع داده در ورودی شبکه نشود. در عوض، باید به طور هوشمندانه، محلهایی مانند درگاههای[۱۴] اینترنت یا VLANهای مرتبط با سرورهای بسیار مهم، که دادهها در آنها همگرا میشوند را انتخاب نمود.
- دادههای لحظهای در مقابل دادههای مربوط به گذشته: دادههای مربوط به گذشته برای تجزیه و تحلیل وقایع گذشته بسیار مهم هستند، اما برخی ابزارهای نظارت بر ترافیک شبکه با گذشت زمان این دادهها را حفظ نمیکنند. نحوه قیمتگذاری ابزار را نیز باید در نظر داشت؛ چرا که هزینه برخی ابزارها بر اساس مقدار داده قابل ذخیره، متفاوت است. با درک واضح نوع داده مهم برای خود و همچنین با توجه به نیازها و بودجه میتوان بهترین گزینه را انتخاب نمود.
- ضبط[۱۵] بسته کامل، هزینه و پیچیدگی: برخی ابزارهای DPI تمام بسته را ضبط و نگهداری میکنند که این مساله باعث افزایش هزینه تجهیزات و ذخیرهسازی شده و تخصص و آموزش زیادی برای عملیاتی شدن نیاز دارد. برخی دیگر، تمام بسته را ضبط کرده اما تنها جزئیات و فرادادههای مهم برای هر پروتکل را پس از استخراج، ذخیره میکنند. استخراج و ذخیرهسازی تنها فرادادهها، منجر به کاهش چشمگیر هزینه ذخیرهسازی میشود و در عین حال، جزئیات قابل خواندن و قابل اقدام، که هم برای تیمهای شبکه و هم برای تیمهای امنیتی ایدهآل هستند، را حفظ میکند.
بیشتر بخوانید: فرایند مدیریت آسیب پذیری
نتیجهگیری
تحلیل ترافیک شبکه راهی است اساسی برای نظارت بر در دسترس بودن و فعالیت شبکه با هدف شناسایی ناهنجاریها، بهینهسازی کارایی و جستجوی حملات. در کنار انبوهسازی[۱۶] Logها، UEBA و دادههای نقاط پایانی، ترافیک شبکه از ارزش زیادی در دستیابی به دید در شبکه و تجزیه و تحلیل کامل امنیتی برای کشف و حذف زودهنگام تهدیدات برخوردار است. در زمان انتخاب یک راهکار NTA، باید نقاط کور موجود بر روی شبکه و منابع دادهای که نیازمند دریافت اطلاعات از آنها هستید، و نقاط حیاتی شبکه که در آنها دادهها برای نظارت موثر همگرا میشوند، را در نظر گرفت. اضافه شدن NTA به عنوان یک لایه به راهکار SIEM، دید بیشتری از محیط و کاربران ارائه میکند.
منبع:
https://www.rapid7.com/fundamentals/network-traffic-analysis
[۱] Network Traffic Analysis
[۲] Flow data
[۳] Packet data
[۴] Switch Port Analyzer: پورت SPAN یک Interface بر روی سوئیچ است که دادههای Interfaceهای دیگر را کپی میکند. امکان تعریف پورت SPAN در اغلب سوئیچهای پیشرفته وجود دارد. نام دیگر این پورت Mirror Port است. دستگاههای تحلیل و نظارت میتوانند به پورت SPAN متصل شده و به اطلاعات ترافیک شبکه دسترسی پیدا کنند.
[۵] Test Access Point: وسیلهای کوچک که به شبکه متصل شده و دادههای در حال تبادل را برای دستگاه تحلیل ترافیک شبکه ارسال میکند. سیستم TAP دادههای دریافتی و ارسالی را همزمان بر روی دو کانال اختصاص یافته به این مسئله انتقال داده و از دریافت دادهها به طور بلادرنگ توسط نظارت اطمینان حاصل میکند.
[۶] Traffic volumes
[۷] Deep packet inspection
[۸] Anonymizer
[۹] Command Line Interface
[۱۰] Login
[۱۱] Forensic
[۱۲] Data exfiltration
[۱۳] Flow-based
[۱۴] Gateway
[۱۵] Capture
[۱۶] Aggregation