అంతర్గత నెట్‌వర్క్ భద్రతను పర్యవేక్షించడానికి ఒక సాధనంగా ఫ్లో ప్రోటోకాల్‌లు

అంతర్గత కార్పొరేట్ లేదా డిపార్ట్‌మెంటల్ నెట్‌వర్క్ యొక్క భద్రతను పర్యవేక్షించడం విషయానికి వస్తే, చాలా మంది సమాచార లీక్‌లను నియంత్రించడం మరియు DLP పరిష్కారాలను అమలు చేయడంతో అనుబంధిస్తారు. మరియు మీరు ప్రశ్నను స్పష్టం చేయడానికి మరియు అంతర్గత నెట్‌వర్క్‌పై దాడులను ఎలా గుర్తించాలో అడిగితే, సమాధానం సాధారణంగా చొరబాటు గుర్తింపు వ్యవస్థల (IDS) ప్రస్తావనగా ఉంటుంది. మరి 10-20 ఏళ్ల క్రితం ఉన్న ఏకైక ఆప్షన్ నేడు అనాక్రోనిజంగా మారుతోంది. మరింత ప్రభావవంతమైన మరియు కొన్ని ప్రదేశాలలో, అంతర్గత నెట్‌వర్క్‌ను పర్యవేక్షించడానికి ఏకైక సాధ్యమైన ఎంపిక ఉంది - ఫ్లో ప్రోటోకాల్‌లను ఉపయోగించడం, ఇది వాస్తవానికి నెట్‌వర్క్ సమస్యల కోసం (ట్రబుల్షూటింగ్) శోధించడానికి రూపొందించబడింది, కానీ కాలక్రమేణా చాలా ఆసక్తికరమైన భద్రతా సాధనంగా రూపాంతరం చెందింది. ఏ ఫ్లో ప్రోటోకాల్‌లు ఉన్నాయి మరియు నెట్‌వర్క్ దాడులను గుర్తించడంలో ఏవి మంచివి, ఫ్లో మానిటరింగ్‌ను ఎక్కడ అమలు చేయడం ఉత్తమం, అటువంటి పథకాన్ని అమలు చేసేటప్పుడు ఏమి చూడాలి మరియు దేశీయ పరికరాలపై ఇవన్నీ ఎలా "లిఫ్ట్" చేయాలి అనే దాని గురించి మేము మాట్లాడుతాము. ఈ వ్యాసం పరిధిలో.

"అంతర్గత మౌలిక సదుపాయాల భద్రతా పర్యవేక్షణ ఎందుకు అవసరం?" అనే ప్రశ్నపై నేను నివసించను. సమాధానం స్పష్టంగా ఉన్నట్లు అనిపిస్తుంది. అయినప్పటికీ, ఈ రోజు మీరు అది లేకుండా జీవించలేరని మీరు మరోసారి నిర్ధారించుకోవాలనుకుంటే, ఒకసారి చూడండి మీరు 17 మార్గాల్లో ఫైర్‌వాల్ ద్వారా రక్షించబడిన కార్పొరేట్ నెట్‌వర్క్‌లోకి ఎలా ప్రవేశించవచ్చనే దాని గురించిన చిన్న వీడియో. అందువల్ల, అంతర్గత పర్యవేక్షణ అవసరమని మేము అర్థం చేసుకున్నామని మరియు దానిని ఎలా నిర్వహించవచ్చో అర్థం చేసుకోవడం మాత్రమే మిగిలి ఉందని మేము ఊహిస్తాము.

నెట్‌వర్క్ స్థాయిలో మౌలిక సదుపాయాలను పర్యవేక్షించడానికి నేను మూడు కీలక డేటా మూలాలను హైలైట్ చేస్తాను:

• మేము క్యాప్చర్ చేసి, నిర్దిష్ట విశ్లేషణ సిస్టమ్‌లకు విశ్లేషణ కోసం సమర్పించే “రా” ట్రాఫిక్,
• నెట్‌వర్క్ పరికరాల నుండి ట్రాఫిక్ పాస్ అయ్యే ఈవెంట్‌లు,
• ఫ్లో ప్రోటోకాల్‌లలో ఒకదాని ద్వారా ట్రాఫిక్ సమాచారం స్వీకరించబడింది.

భద్రతా నిపుణులలో ముడి ట్రాఫిక్‌ను సంగ్రహించడం అత్యంత ప్రజాదరణ పొందిన ఎంపిక, ఎందుకంటే ఇది చారిత్రాత్మకంగా కనిపించింది మరియు ఇది మొదటిది. సాంప్రదాయిక నెట్‌వర్క్ చొరబాట్లను గుర్తించే వ్యవస్థలు (మొట్టమొదటి వాణిజ్య చొరబాట్లను గుర్తించే వ్యవస్థ వీల్ గ్రూప్ నుండి నెట్‌రేంజర్, 1998లో సిస్కో కొనుగోలు చేసింది) ఖచ్చితంగా ప్యాకెట్‌లను (మరియు తరువాత సెషన్‌లు) సంగ్రహించడంలో నిమగ్నమై ఉన్నాయి, ఇందులో నిర్దిష్ట సంతకాలు (“నిర్ణయాత్మక నియమాలు” FSTEC పరిభాష), సిగ్నలింగ్ దాడులు. అయితే, మీరు IDSని ఉపయోగించడమే కాకుండా, ఇతర సాధనాలను (ఉదాహరణకు, Cisco IOSలో Wireshark, tcpdum లేదా NBAR2 కార్యాచరణ) ఉపయోగించి కూడా రా ట్రాఫిక్‌ను విశ్లేషించవచ్చు, కానీ అవి సాధారణంగా సమాచార భద్రతా సాధనాన్ని సాధారణ నుండి వేరుచేసే నాలెడ్జ్ బేస్ కలిగి ఉండవు. IT సాధనం.

కాబట్టి, దాడి గుర్తింపు వ్యవస్థలు. నెట్‌వర్క్ దాడులను గుర్తించే పురాతన మరియు అత్యంత జనాదరణ పొందిన పద్ధతి, ఇది చుట్టుకొలత వద్ద మంచి పని చేస్తుంది (ఏమైనప్పటికీ - కార్పొరేట్, డేటా సెంటర్, సెగ్మెంట్, మొదలైనవి), కానీ ఆధునిక స్విచ్డ్ మరియు సాఫ్ట్‌వేర్-నిర్వచించిన నెట్‌వర్క్‌లలో విఫలమవుతుంది. సాంప్రదాయిక స్విచ్‌ల ఆధారంగా నిర్మించిన నెట్‌వర్క్ విషయంలో, దాడిని గుర్తించే సెన్సార్ల యొక్క అవస్థాపన చాలా పెద్దదిగా మారుతుంది - మీరు దాడులను పర్యవేక్షించాలనుకునే నోడ్‌కు ప్రతి కనెక్షన్‌లో సెన్సార్‌ను ఇన్‌స్టాల్ చేయాలి. ఏదైనా తయారీదారు, వాస్తవానికి, మీకు వందల మరియు వేల సెన్సార్లను విక్రయించడానికి సంతోషిస్తారు, అయితే మీ బడ్జెట్ అటువంటి ఖర్చులకు మద్దతు ఇవ్వదని నేను భావిస్తున్నాను. సిస్కోలో కూడా (మరియు మేము NGIPS డెవలపర్లు) మేము దీన్ని చేయలేమని నేను చెప్పగలను, అయినప్పటికీ ధర సమస్య మన ముందు ఉన్నట్లు అనిపిస్తుంది. నేను నిలబడకూడదు - ఇది మా స్వంత నిర్ణయం. అదనంగా, ప్రశ్న తలెత్తుతుంది, ఈ సంస్కరణలో సెన్సార్ను ఎలా కనెక్ట్ చేయాలి? గ్యాప్‌లోకి? సెన్సార్ కూడా విఫలమైతే? సెన్సార్‌లో బైపాస్ మాడ్యూల్ కావాలా? స్ప్లిటర్‌లను (ట్యాప్) ఉపయోగించాలా? ఇవన్నీ పరిష్కారాన్ని మరింత ఖరీదైనవిగా చేస్తాయి మరియు ఏ పరిమాణంలోనైనా కంపెనీకి అది భరించలేనిదిగా చేస్తుంది.

మీరు SPAN/RSPAN/ERSPAN పోర్ట్‌లో సెన్సార్‌ను "హ్యాంగ్" చేయడానికి ప్రయత్నించవచ్చు మరియు దానికి అవసరమైన స్విచ్ పోర్ట్‌ల నుండి ట్రాఫిక్‌ను డైరెక్ట్ చేయవచ్చు. ఈ ఐచ్ఛికం మునుపటి పేరాలో వివరించిన సమస్యను పాక్షికంగా తొలగిస్తుంది, కానీ మరొకటి విసిరింది - SPAN పోర్ట్ దానికి పంపబడే అన్ని ట్రాఫిక్‌ను ఖచ్చితంగా అంగీకరించదు - దీనికి తగినంత బ్యాండ్‌విడ్త్ ఉండదు. మీరు ఏదో త్యాగం చేయవలసి ఉంటుంది. కొన్ని నోడ్‌లను పర్యవేక్షించకుండా వదిలివేయండి (అప్పుడు మీరు మొదట వాటికి ప్రాధాన్యత ఇవ్వాలి), లేదా నోడ్ నుండి మొత్తం ట్రాఫిక్‌ను పంపకుండా, ఒక నిర్దిష్ట రకాన్ని మాత్రమే పంపండి. ఏదైనా సందర్భంలో, మేము కొన్ని దాడులను కోల్పోవచ్చు. అదనంగా, SPAN పోర్ట్ ఇతర అవసరాలకు ఉపయోగించవచ్చు. ఫలితంగా, మేము ఇప్పటికే ఉన్న నెట్‌వర్క్ టోపోలాజీని సమీక్షించవలసి ఉంటుంది మరియు మీరు కలిగి ఉన్న సెన్సార్‌ల సంఖ్యతో మీ నెట్‌వర్క్‌ను గరిష్టంగా కవర్ చేయడానికి (మరియు దీన్ని ITతో సమన్వయం చేయండి) కోసం మేము దానికి సర్దుబాట్లు చేయాల్సి ఉంటుంది.

మీ నెట్‌వర్క్ అసమాన మార్గాలను ఉపయోగిస్తే ఏమి చేయాలి? మీరు SDNని అమలు చేసి ఉంటే లేదా అమలు చేయడానికి ప్లాన్ చేస్తున్నట్లయితే? మీరు వర్చువలైజ్డ్ మెషీన్‌లు లేదా కంటైనర్‌లను పర్యవేక్షించాల్సిన అవసరం ఉంటే, దీని ట్రాఫిక్ భౌతిక స్విచ్‌కు చేరుకోదు? ఇవి సంప్రదాయ IDS విక్రేతలు ఇష్టపడని ప్రశ్నలు ఎందుకంటే వాటికి ఎలా సమాధానం చెప్పాలో వారికి తెలియదు. ఈ ఫ్యాషన్ టెక్నాలజీలన్నీ హైప్ అని మరియు మీకు ఇది అవసరం లేదని వారు మిమ్మల్ని ఒప్పిస్తారు. బహుశా వారు చిన్నగా ప్రారంభించాల్సిన అవసరం గురించి మాట్లాడతారు. లేదా మీరు నెట్‌వర్క్ మధ్యలో శక్తివంతమైన థ్రెషర్‌ను ఉంచాలని మరియు బ్యాలెన్సర్‌లను ఉపయోగించి అన్ని ట్రాఫిక్‌ను దానికి మళ్లించాలని వారు చెబుతారు. మీకు ఏ ఎంపిక అందించబడినా, అది మీకు ఎలా సరిపోతుందో మీరు స్పష్టంగా అర్థం చేసుకోవాలి. మరియు ఆ తర్వాత మాత్రమే నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్ యొక్క సమాచార భద్రతను పర్యవేక్షించే విధానాన్ని ఎంచుకోవడంపై నిర్ణయం తీసుకోండి. ప్యాకెట్ క్యాప్చర్‌కు తిరిగి రావడం, ఈ పద్ధతి చాలా ప్రజాదరణ మరియు ముఖ్యమైనదిగా కొనసాగుతుందని నేను చెప్పాలనుకుంటున్నాను, అయితే దీని ప్రధాన ప్రయోజనం సరిహద్దు నియంత్రణ; మీ సంస్థ మరియు ఇంటర్నెట్ మధ్య సరిహద్దులు, డేటా సెంటర్ మరియు మిగిలిన నెట్‌వర్క్ మధ్య సరిహద్దులు, ప్రాసెస్ కంట్రోల్ సిస్టమ్ మరియు కార్పొరేట్ సెగ్మెంట్ మధ్య సరిహద్దులు. ఈ ప్రదేశాలలో, క్లాసిక్ IDS/IPS ఇప్పటికీ ఉనికిలో ఉండటానికి మరియు వారి పనులను చక్కగా ఎదుర్కొనే హక్కును కలిగి ఉంది.

రెండవ ఎంపికకు వెళ్దాం. నెట్‌వర్క్ పరికరాల నుండి వచ్చే ఈవెంట్‌ల విశ్లేషణ దాడిని గుర్తించే ప్రయోజనాల కోసం కూడా ఉపయోగించబడుతుంది, కానీ ప్రధాన మెకానిజం వలె కాదు, ఎందుకంటే ఇది చిన్న తరగతి చొరబాట్లను మాత్రమే గుర్తించడానికి అనుమతిస్తుంది. అదనంగా, ఇది కొంత రియాక్టివిటీలో అంతర్లీనంగా ఉంటుంది - దాడి మొదట జరగాలి, తర్వాత అది తప్పనిసరిగా నెట్వర్క్ పరికరం ద్వారా రికార్డ్ చేయబడాలి, ఇది ఒక విధంగా లేదా మరొక విధంగా సమాచార భద్రతతో సమస్యను సూచిస్తుంది. అలాంటి అనేక మార్గాలు ఉన్నాయి. ఇది syslog, RMON లేదా SNMP కావచ్చు. సమాచార భద్రత విషయంలో నెట్‌వర్క్ పర్యవేక్షణ కోసం చివరి రెండు ప్రోటోకాల్‌లు మనం నెట్‌వర్క్ పరికరాలపైనే DoS దాడిని గుర్తించాల్సిన అవసరం ఉన్నట్లయితే మాత్రమే ఉపయోగించబడతాయి, ఎందుకంటే RMON మరియు SNMPని ఉపయోగించడం సాధ్యమవుతుంది, ఉదాహరణకు, పరికరం యొక్క సెంట్రల్‌పై లోడ్‌ను పర్యవేక్షించడం. ప్రాసెసర్ లేదా దాని ఇంటర్‌ఫేస్‌లు. ఇది "చౌకైనది" (ప్రతి ఒక్కరికి సిస్లాగ్ లేదా SNMP ఉంది) ఒకటి, కానీ అంతర్గత మౌలిక సదుపాయాల యొక్క సమాచార భద్రతను పర్యవేక్షించే అన్ని పద్ధతుల్లో అత్యంత అసమర్థమైనది - అనేక దాడులు దాని నుండి దాచబడ్డాయి. వాస్తవానికి, వాటిని విస్మరించకూడదు మరియు అదే సిస్లాగ్ విశ్లేషణ పరికరం యొక్క కాన్ఫిగరేషన్‌లో మార్పులను, దాని యొక్క రాజీని సకాలంలో గుర్తించడంలో మీకు సహాయపడుతుంది, అయితే మొత్తం నెట్‌వర్క్‌పై దాడులను గుర్తించడానికి ఇది చాలా సరిఅయినది కాదు.

మూడవ ఎంపిక అనేక ఫ్లో ప్రోటోకాల్‌లలో ఒకదానికి మద్దతు ఇచ్చే పరికరం గుండా ట్రాఫిక్ గురించి సమాచారాన్ని విశ్లేషించడం. ఈ సందర్భంలో, ప్రోటోకాల్‌తో సంబంధం లేకుండా, థ్రెడింగ్ ఇన్‌ఫ్రాస్ట్రక్చర్ తప్పనిసరిగా మూడు భాగాలను కలిగి ఉంటుంది:

• ప్రవాహం యొక్క ఉత్పత్తి లేదా ఎగుమతి. ఈ పాత్ర సాధారణంగా రౌటర్, స్విచ్ లేదా ఇతర నెట్‌వర్క్ పరికరానికి కేటాయించబడుతుంది, ఇది నెట్‌వర్క్ ట్రాఫిక్‌ను దాని ద్వారా పంపడం ద్వారా, దాని నుండి కీ పారామితులను సంగ్రహించడానికి మిమ్మల్ని అనుమతిస్తుంది, అవి సేకరణ మాడ్యూల్‌కు ప్రసారం చేయబడతాయి. ఉదాహరణకు, సిస్కో నెట్‌ఫ్లో ప్రోటోకాల్‌కు వర్చువల్ మరియు పారిశ్రామిక వాటితో సహా రూటర్‌లు మరియు స్విచ్‌లపై మాత్రమే కాకుండా వైర్‌లెస్ కంట్రోలర్‌లు, ఫైర్‌వాల్‌లు మరియు సర్వర్‌లపై కూడా మద్దతు ఇస్తుంది.
• సేకరణ ప్రవాహం. ఆధునిక నెట్‌వర్క్ సాధారణంగా ఒకటి కంటే ఎక్కువ నెట్‌వర్క్ పరికరాలను కలిగి ఉందని పరిగణనలోకి తీసుకుంటే, ప్రవాహాలను సేకరించడం మరియు ఏకీకృతం చేయడంలో సమస్య తలెత్తుతుంది, ఇది కలెక్టర్లు అని పిలవబడే వాటిని ఉపయోగించి పరిష్కరించబడుతుంది, ఇది స్వీకరించిన ప్రవాహాలను ప్రాసెస్ చేస్తుంది మరియు వాటిని విశ్లేషణ కోసం ప్రసారం చేస్తుంది.
• ప్రవాహ విశ్లేషణ ఎనలైజర్ ప్రధాన మేధోపరమైన పనిని తీసుకుంటుంది మరియు స్ట్రీమ్‌లకు వివిధ అల్గారిథమ్‌లను వర్తింపజేసి, కొన్ని తీర్మానాలను తీసుకుంటుంది. ఉదాహరణకు, IT ఫంక్షన్‌లో భాగంగా, అటువంటి ఎనలైజర్ నెట్‌వర్క్ అడ్డంకులను గుర్తించగలదు లేదా తదుపరి నెట్‌వర్క్ ఆప్టిమైజేషన్ కోసం ట్రాఫిక్ లోడ్ ప్రొఫైల్‌ను విశ్లేషించగలదు. మరియు సమాచార భద్రత కోసం, అటువంటి ఎనలైజర్ డేటా లీక్‌లు, హానికరమైన కోడ్ వ్యాప్తి లేదా DoS దాడులను గుర్తించగలదు.

ఈ త్రీ-టైర్ ఆర్కిటెక్చర్ చాలా క్లిష్టంగా ఉందని అనుకోకండి - అన్ని ఇతర ఎంపికలు (బహుశా, SNMP మరియు RMONతో పనిచేసే నెట్‌వర్క్ మానిటరింగ్ సిస్టమ్‌లు తప్ప) కూడా దాని ప్రకారం పని చేస్తాయి. మేము విశ్లేషణ కోసం డేటా జనరేటర్‌ని కలిగి ఉన్నాము, అది నెట్‌వర్క్ పరికరం లేదా స్టాండ్-అలోన్ సెన్సార్ కావచ్చు. మేము మొత్తం పర్యవేక్షణ అవస్థాపన కోసం అలారం సేకరణ వ్యవస్థ మరియు నిర్వహణ వ్యవస్థను కలిగి ఉన్నాము. చివరి రెండు భాగాలను ఒకే నోడ్‌లో కలపవచ్చు, కానీ ఎక్కువ లేదా తక్కువ పెద్ద నెట్‌వర్క్‌లలో అవి సాధారణంగా స్కేలబిలిటీ మరియు విశ్వసనీయతను నిర్ధారించడానికి కనీసం రెండు పరికరాలలో విస్తరించి ఉంటాయి.

ప్యాకెట్ విశ్లేషణ వలె కాకుండా, ఇది ప్రతి ప్యాకెట్ యొక్క హెడర్ మరియు బాడీ డేటా మరియు దానిలోని సెషన్‌లను అధ్యయనం చేయడంపై ఆధారపడి ఉంటుంది, ఫ్లో విశ్లేషణ నెట్‌వర్క్ ట్రాఫిక్ గురించి మెటాడేటాను సేకరించడంపై ఆధారపడి ఉంటుంది. ఎప్పుడు, ఎంత, ఎక్కడ నుండి మరియు ఎక్కడ, ఎలా... వివిధ ఫ్లో ప్రోటోకాల్‌లను ఉపయోగించి నెట్‌వర్క్ టెలిమెట్రీ విశ్లేషణ ద్వారా సమాధానాలు ఇవ్వబడిన ప్రశ్నలు. ప్రారంభంలో, అవి గణాంకాలను విశ్లేషించడానికి మరియు నెట్‌వర్క్‌లో IT సమస్యలను కనుగొనడానికి ఉపయోగించబడ్డాయి, అయితే, విశ్లేషణాత్మక యంత్రాంగాలు అభివృద్ధి చెందడంతో, భద్రతా ప్రయోజనాల కోసం వాటిని ఒకే టెలిమెట్రీకి వర్తింపజేయడం సాధ్యమైంది. ఫ్లో విశ్లేషణ ప్యాకెట్ క్యాప్చర్‌ను భర్తీ చేయదు లేదా భర్తీ చేయదు అని మళ్లీ గమనించాలి. ఈ పద్ధతుల్లో ప్రతి దాని స్వంత అప్లికేషన్ ప్రాంతం ఉంది. కానీ ఈ కథనం యొక్క సందర్భంలో, అంతర్గత అవస్థాపనను పర్యవేక్షించడానికి ఇది ఉత్తమంగా సరిపోయే ప్రవాహ విశ్లేషణ. మీరు నెట్‌వర్క్ పరికరాలను కలిగి ఉన్నారు (అవి సాఫ్ట్‌వేర్-నిర్వచించిన నమూనాలో పనిచేసినా లేదా స్టాటిక్ నియమాల ప్రకారం) దాడిని దాటవేయలేవు. ఇది క్లాసిక్ IDS సెన్సార్‌ను దాటవేయగలదు, కానీ ఫ్లో ప్రోటోకాల్‌కు మద్దతిచ్చే నెట్‌వర్క్ పరికరం సాధ్యం కాదు. ఇది ఈ పద్ధతి యొక్క ప్రయోజనం.

మరోవైపు, మీకు చట్ట అమలుకు లేదా మీ స్వంత సంఘటన దర్యాప్తు బృందానికి సాక్ష్యం అవసరమైతే, మీరు ప్యాకెట్ క్యాప్చర్ లేకుండా చేయలేరు - నెట్‌వర్క్ టెలిమెట్రీ అనేది సాక్ష్యం సేకరించడానికి ఉపయోగించే ట్రాఫిక్ కాపీ కాదు; సమాచార భద్రత రంగంలో వేగవంతమైన గుర్తింపు మరియు నిర్ణయం తీసుకోవడానికి ఇది అవసరం. మరోవైపు, టెలిమెట్రీ విశ్లేషణను ఉపయోగించి, మీరు అన్ని నెట్‌వర్క్ ట్రాఫిక్‌ను "వ్రాయవచ్చు" (ఏదైనా ఉంటే, సిస్కో డేటా సెంటర్‌లతో వ్యవహరిస్తుంది :-), కానీ దాడిలో పాల్గొన్న వాటిని మాత్రమే. ఈ విషయంలో టెలిమెట్రీ విశ్లేషణ సాధనాలు సాంప్రదాయ ప్యాకెట్ క్యాప్చర్ మెకానిజమ్‌లను బాగా పూర్తి చేస్తాయి, సెలెక్టివ్ క్యాప్చర్ మరియు స్టోరేజ్ కోసం ఆదేశాలను అందిస్తాయి. లేకపోతే, మీరు భారీ నిల్వ మౌలిక సదుపాయాలను కలిగి ఉండాలి.

250 Mbit/sec వేగంతో పనిచేసే నెట్‌వర్క్‌ని ఊహించుకుందాం. మీరు ఈ వాల్యూమ్ మొత్తాన్ని నిల్వ చేయాలనుకుంటే, మీకు ఒక సెకను ట్రాఫిక్ ట్రాన్స్‌మిషన్‌కు 31 MB స్టోరేజ్, ఒక నిమిషం కోసం 1,8 GB, ఒక గంటకు 108 GB మరియు ఒక రోజుకి 2,6 TB అవసరం. 10 Gbit/s బ్యాండ్‌విడ్త్ ఉన్న నెట్‌వర్క్ నుండి రోజువారీ డేటాను నిల్వ చేయడానికి, మీకు 108 TB నిల్వ అవసరం. కానీ కొన్ని రెగ్యులేటర్‌లు భద్రతా డేటాను సంవత్సరాల తరబడి నిల్వ చేయవలసి ఉంటుంది... ఆన్-డిమాండ్ రికార్డింగ్, ఇది అమలు చేయడంలో మీకు సహాయపడే ఫ్లో విశ్లేషణ, పరిమాణం యొక్క ఆర్డర్‌ల ద్వారా ఈ విలువలను తగ్గించడంలో సహాయపడుతుంది. మార్గం ద్వారా, మేము రికార్డ్ చేయబడిన నెట్‌వర్క్ టెలిమెట్రీ డేటా మరియు పూర్తి డేటా క్యాప్చర్ యొక్క వాల్యూమ్ యొక్క నిష్పత్తి గురించి మాట్లాడినట్లయితే, అది సుమారుగా 1 నుండి 500 వరకు ఉంటుంది. పైన పేర్కొన్న అదే విలువల కోసం, మొత్తం రోజువారీ ట్రాఫిక్ యొక్క పూర్తి లిప్యంతరీకరణను నిల్వ చేస్తుంది వరుసగా 5 మరియు 216 GB ఉంటుంది (మీరు దీన్ని సాధారణ ఫ్లాష్ డ్రైవ్‌లో కూడా రికార్డ్ చేయవచ్చు ).

ముడి నెట్‌వర్క్ డేటాను విశ్లేషించే సాధనాల కోసం, దానిని సంగ్రహించే పద్ధతి విక్రేత నుండి విక్రేతకు దాదాపు ఒకే విధంగా ఉంటే, ఫ్లో విశ్లేషణ విషయంలో పరిస్థితి భిన్నంగా ఉంటుంది. ఫ్లో ప్రోటోకాల్‌ల కోసం అనేక ఎంపికలు ఉన్నాయి, భద్రత విషయంలో మీరు తెలుసుకోవలసిన తేడాలు. సిస్కో అభివృద్ధి చేసిన నెట్‌ఫ్లో ప్రోటోకాల్ అత్యంత ప్రజాదరణ పొందింది. ఈ ప్రోటోకాల్ యొక్క అనేక వెర్షన్లు ఉన్నాయి, వాటి సామర్థ్యాలు మరియు రికార్డ్ చేయబడిన ట్రాఫిక్ సమాచారం మొత్తం భిన్నంగా ఉంటాయి. ప్రస్తుత సంస్కరణ తొమ్మిదవది (నెట్‌ఫ్లో v9), దీని ఆధారంగా పరిశ్రమ ప్రమాణం నెట్‌ఫ్లో v10, దీనిని IPFIX అని కూడా పిలుస్తారు, అభివృద్ధి చేయబడింది. నేడు, చాలా మంది నెట్‌వర్క్ విక్రేతలు తమ పరికరాలలో Netflow లేదా IPFIXకి మద్దతు ఇస్తున్నారు. కానీ ఫ్లో ప్రోటోకాల్‌ల కోసం అనేక ఇతర ఎంపికలు ఉన్నాయి - sFlow, jFlow, cFlow, rFlow, NetStream మొదలైనవి. వీటిలో sFlow అత్యంత ప్రజాదరణ పొందింది. ఇది అమలులో సౌలభ్యం కారణంగా నెట్వర్క్ పరికరాల దేశీయ తయారీదారులచే చాలా తరచుగా మద్దతు ఇచ్చే ఈ రకం. వాస్తవ ప్రమాణంగా మారిన నెట్‌ఫ్లో మరియు sFlow మధ్య కీలక తేడాలు ఏమిటి? నేను అనేక కీలకమైన వాటిని హైలైట్ చేస్తాను. ముందుగా, Netflow sFlowలోని స్థిర ఫీల్డ్‌లకు విరుద్ధంగా వినియోగదారు-అనుకూలీకరించదగిన ఫీల్డ్‌లను కలిగి ఉంది. మరియు రెండవది, మరియు ఇది మా విషయంలో చాలా ముఖ్యమైన విషయం, sFlow నమూనా టెలిమెట్రీ అని పిలవబడే సేకరిస్తుంది; Netflow మరియు IPFIX కోసం నమూనా చేయని వాటికి విరుద్ధంగా. వాటి మధ్య తేడా ఏమిటి?

మీరు పుస్తకాన్ని చదవాలని నిర్ణయించుకున్నారని ఊహించండి "భద్రతా కార్యకలాపాల కేంద్రం: మీ SOCని నిర్మించడం, నిర్వహించడం మరియు నిర్వహించడం” నా సహోద్యోగులు - గ్యారీ మెక్‌ఇంటైర్, జోసెఫ్ మునిట్జ్ మరియు నాడెమ్ అల్ఫర్డాన్ (మీరు పుస్తకంలోని కొంత భాగాన్ని లింక్ నుండి డౌన్‌లోడ్ చేసుకోవచ్చు). మీ లక్ష్యాన్ని సాధించడానికి మీకు మూడు ఎంపికలు ఉన్నాయి - మొత్తం పుస్తకాన్ని చదవండి, దాన్ని స్కిమ్ చేయండి, ప్రతి 10వ లేదా 20వ పేజీలో ఆపివేయండి లేదా SmartReading వంటి బ్లాగ్ లేదా సేవలో కీలక భావనల రీటెల్లింగ్‌ను కనుగొనడానికి ప్రయత్నించండి. కాబట్టి, నమూనా లేని టెలిమెట్రీ అనేది నెట్‌వర్క్ ట్రాఫిక్‌లోని ప్రతి “పేజీ”ని చదవడం, అంటే ప్రతి ప్యాకెట్‌కు మెటాడేటాను విశ్లేషించడం. నమూనా టెలిమెట్రీ అనేది ఎంచుకున్న నమూనాలు మీకు అవసరమైన వాటిని కలిగి ఉంటాయని ఆశించే ట్రాఫిక్‌ని ఎంపిక చేసిన అధ్యయనం. ఛానెల్ వేగం ఆధారంగా, నమూనా టెలిమెట్రీ విశ్లేషణ కోసం ప్రతి 64వ, 200వ, 500వ, 1000వ, 2000వ లేదా 10000వ ప్యాకెట్‌కి పంపబడుతుంది.

సమాచార భద్రతా పర్యవేక్షణ సందర్భంలో, DDoS దాడులను గుర్తించడం, స్కానింగ్ చేయడం మరియు హానికరమైన కోడ్‌ని వ్యాప్తి చేయడం కోసం నమూనా టెలిమెట్రీ బాగా సరిపోతుందని దీని అర్థం, అయితే విశ్లేషణ కోసం పంపిన నమూనాలో చేర్చని అణు లేదా బహుళ-ప్యాకెట్ దాడులను కోల్పోవచ్చు. నమూనా లేని టెలిమెట్రీకి అటువంటి ప్రతికూలతలు లేవు. దీనితో, గుర్తించబడిన దాడుల పరిధి చాలా విస్తృతమైనది. నెట్‌వర్క్ టెలిమెట్రీ విశ్లేషణ సాధనాలను ఉపయోగించి గుర్తించగల ఈవెంట్‌ల యొక్క చిన్న జాబితా ఇక్కడ ఉంది.

వాస్తవానికి, కొన్ని ఓపెన్ సోర్స్ నెట్‌ఫ్లో ఎనలైజర్ దీన్ని చేయడానికి మిమ్మల్ని అనుమతించదు, ఎందుకంటే దీని ప్రధాన పని టెలిమెట్రీని సేకరించి దానిపై ప్రాథమిక విశ్లేషణను IT కోణం నుండి నిర్వహించడం. ప్రవాహం ఆధారంగా సమాచార భద్రతా బెదిరింపులను గుర్తించడానికి, వివిధ ఇంజన్లు మరియు అల్గారిథమ్‌లతో ఎనలైజర్‌ను సన్నద్ధం చేయడం అవసరం, ఇది ప్రామాణిక లేదా కస్టమ్ నెట్‌ఫ్లో ఫీల్డ్‌ల ఆధారంగా సైబర్‌ సెక్యూరిటీ సమస్యలను గుర్తిస్తుంది, వివిధ థ్రెట్ ఇంటెలిజెన్స్ మూలాల నుండి బాహ్య డేటాతో ప్రామాణిక డేటాను సుసంపన్నం చేస్తుంది.

కాబట్టి, మీకు ఎంపిక ఉంటే, Netflow లేదా IPFIX ఎంచుకోండి. మీ పరికరాలు దేశీయ తయారీదారుల వలె sFlowతో మాత్రమే పనిచేసినప్పటికీ, ఈ సందర్భంలో కూడా మీరు భద్రతా సందర్భంలో దాని నుండి ప్రయోజనం పొందవచ్చు.

2019 వేసవిలో, రష్యన్ నెట్‌వర్క్ హార్డ్‌వేర్ తయారీదారులు కలిగి ఉన్న సామర్థ్యాలను నేను విశ్లేషించాను మరియు NSG, పాలిగాన్ మరియు క్రాఫ్ట్‌వే మినహా అవన్నీ sFlow (కనీసం Zelax, Natex, Eltex, QTech, Rusteleteh)కి మద్దతును ప్రకటించాయి.

భద్రతా ప్రయోజనాల కోసం ఫ్లో మద్దతును ఎక్కడ అమలు చేయాలి అనేది మీరు ఎదుర్కొనే తదుపరి ప్రశ్న? నిజానికి, ప్రశ్న పూర్తిగా సరిగ్గా వేయబడలేదు. ఆధునిక పరికరాలు దాదాపు ఎల్లప్పుడూ ఫ్లో ప్రోటోకాల్‌లకు మద్దతు ఇస్తాయి. అందువల్ల, నేను ప్రశ్నను విభిన్నంగా సంస్కరిస్తాను - భద్రతా కోణం నుండి టెలిమెట్రీని సేకరించడం ఎక్కడ అత్యంత ప్రభావవంతంగా ఉంటుంది? సమాధానం చాలా స్పష్టంగా ఉంటుంది - యాక్సెస్ స్థాయిలో, మీరు మొత్తం ట్రాఫిక్‌లో 100% చూస్తారు, ఇక్కడ మీరు హోస్ట్‌లపై వివరణాత్మక సమాచారాన్ని కలిగి ఉంటారు (MAC, VLAN, ఇంటర్‌ఫేస్ ID), ఇక్కడ మీరు హోస్ట్‌ల మధ్య P2P ట్రాఫిక్‌ను కూడా పర్యవేక్షించవచ్చు, హానికరమైన కోడ్‌ని గుర్తించడం మరియు పంపిణీ చేయడం కోసం స్కానింగ్ చేయడం కీలకం. ప్రధాన స్థాయిలో, మీరు ట్రాఫిక్‌లో కొంత భాగాన్ని చూడకపోవచ్చు, కానీ చుట్టుకొలత స్థాయిలో, మీరు మీ నెట్‌వర్క్ ట్రాఫిక్‌లో నాలుగింట ఒక వంతు చూస్తారు. కానీ కొన్ని కారణాల వలన మీరు మీ నెట్‌వర్క్‌లో విదేశీ పరికరాలను కలిగి ఉంటే, అది దాడి చేసేవారిని చుట్టుకొలతను దాటవేయకుండా "ప్రవేశించడానికి మరియు నిష్క్రమించడానికి" అనుమతించినట్లయితే, దాని నుండి టెలిమెట్రీని విశ్లేషించడం మీకు ఏమీ ఇవ్వదు. అందువల్ల, గరిష్ట కవరేజ్ కోసం, యాక్సెస్ స్థాయిలో టెలిమెట్రీ సేకరణను ప్రారంభించాలని సిఫార్సు చేయబడింది. అదే సమయంలో, మేము వర్చువలైజేషన్ లేదా కంటైనర్ల గురించి మాట్లాడుతున్నప్పటికీ, ఆధునిక వర్చువల్ స్విచ్‌లలో ఫ్లో సపోర్ట్ కూడా తరచుగా కనుగొనబడుతుంది, ఇది అక్కడ కూడా ట్రాఫిక్‌ను నియంత్రించడానికి మిమ్మల్ని అనుమతిస్తుంది.

కానీ నేను అంశాన్ని లేవనెత్తినప్పటి నుండి, నేను ప్రశ్నకు సమాధానం ఇవ్వాలి: పరికరాలు, భౌతిక లేదా వర్చువల్, ఫ్లో ప్రోటోకాల్‌లకు మద్దతు ఇవ్వకపోతే? లేదా దాని చేర్చడం నిషేధించబడిందా (ఉదాహరణకు, విశ్వసనీయతను నిర్ధారించడానికి పారిశ్రామిక విభాగాలలో)? లేదా దాన్ని ఆన్ చేయడం వల్ల అధిక CPU లోడ్‌కు దారితీస్తుందా (ఇది పాత హార్డ్‌వేర్‌లో జరుగుతుంది)? ఈ సమస్యను పరిష్కరించడానికి, ప్రత్యేకమైన వర్చువల్ సెన్సార్‌లు (ఫ్లో సెన్సార్‌లు) ఉన్నాయి, ఇవి తప్పనిసరిగా సాధారణ స్ప్లిటర్‌లు, ఇవి ట్రాఫిక్‌ను తమ గుండా పంపుతాయి మరియు సేకరణ మాడ్యూల్‌కు ప్రవాహం రూపంలో ప్రసారం చేస్తాయి. నిజమే, ఈ సందర్భంలో ప్యాకెట్ క్యాప్చర్ సాధనాలకు సంబంధించి మనం పైన మాట్లాడిన అన్ని సమస్యలను పొందుతాము. అంటే, మీరు ప్రవాహ విశ్లేషణ సాంకేతికత యొక్క ప్రయోజనాలను మాత్రమే కాకుండా, దాని పరిమితులను కూడా అర్థం చేసుకోవాలి.

ఫ్లో అనాలిసిస్ టూల్స్ గురించి మాట్లాడేటప్పుడు గుర్తుంచుకోవలసిన ముఖ్యమైన మరో విషయం. భద్రతా ఈవెంట్‌లను రూపొందించే సంప్రదాయ మార్గాలకు సంబంధించి మేము EPS మెట్రిక్‌ని ఉపయోగిస్తే (ఈవెంట్‌కు సెకనుకు), అప్పుడు ఈ సూచిక టెలిమెట్రీ విశ్లేషణకు వర్తించదు; ఇది FPS (సెకనుకు ప్రవాహం) ద్వారా భర్తీ చేయబడుతుంది. EPS విషయంలో వలె, ఇది ముందుగానే లెక్కించబడదు, కానీ మీరు ఒక నిర్దిష్ట పరికరం దాని పనిని బట్టి ఉత్పత్తి చేసే సుమారు థ్రెడ్‌ల సంఖ్యను అంచనా వేయవచ్చు. మీరు వివిధ రకాల ఎంటర్‌ప్రైజ్ పరికరాలు మరియు షరతుల కోసం సుమారు విలువలతో ఇంటర్నెట్‌లో పట్టికలను కనుగొనవచ్చు, ఇది విశ్లేషణ సాధనాల కోసం మీకు ఏ లైసెన్స్‌లు అవసరమో మరియు వాటి నిర్మాణం ఎలా ఉంటుందో అంచనా వేయడానికి మిమ్మల్ని అనుమతిస్తుంది? వాస్తవం ఏమిటంటే IDS సెన్సార్ ఒక నిర్దిష్ట బ్యాండ్‌విడ్త్ ద్వారా పరిమితం చేయబడింది, అది "లాగుతుంది" మరియు ఫ్లో కలెక్టర్‌కు దాని స్వంత పరిమితులు ఉన్నాయి, దానిని అర్థం చేసుకోవాలి. అందువల్ల, పెద్ద, భౌగోళికంగా పంపిణీ చేయబడిన నెట్‌వర్క్‌లలో సాధారణంగా అనేక కలెక్టర్లు ఉంటారు. నేను వివరించినప్పుడు సిస్కో లోపల నెట్‌వర్క్ ఎలా పర్యవేక్షించబడుతుంది, నేను ఇప్పటికే మా కలెక్టర్ల సంఖ్యను ఇచ్చాను - వాటిలో 21 ఉన్నాయి. మరియు ఇది ఐదు ఖండాలలో చెల్లాచెదురుగా ఉన్న నెట్‌వర్క్ కోసం మరియు దాదాపు అర మిలియన్ యాక్టివ్ డివైజ్‌లు).

మేము నెట్‌ఫ్లో మానిటరింగ్ సిస్టమ్‌గా మా స్వంత పరిష్కారాన్ని ఉపయోగిస్తాము సిస్కో స్టెల్త్‌వాచ్, ఇది భద్రతా సమస్యలను పరిష్కరించడంపై ప్రత్యేకంగా దృష్టి సారించింది. ఇది క్రమరహిత, అనుమానాస్పద మరియు స్పష్టంగా హానికరమైన కార్యాచరణను గుర్తించడానికి అనేక అంతర్నిర్మిత ఇంజిన్‌లను కలిగి ఉంది, ఇది వివిధ రకాల బెదిరింపులను గుర్తించడానికి అనుమతిస్తుంది - క్రిప్టోమైనింగ్ నుండి సమాచార లీక్‌ల వరకు, హానికరమైన కోడ్ వ్యాప్తి నుండి మోసం వరకు. చాలా ఫ్లో ఎనలైజర్‌ల మాదిరిగానే, స్టీల్త్‌వాచ్ మూడు-స్థాయి పథకం (జనరేటర్ - కలెక్టర్ - ఎనలైజర్) ప్రకారం నిర్మించబడింది, అయితే ఇది పరిశీలనలో ఉన్న పదార్థం యొక్క సందర్భంలో ముఖ్యమైన అనేక ఆసక్తికరమైన లక్షణాలతో అనుబంధించబడింది. ముందుగా, ఇది ప్యాకెట్ క్యాప్చర్ సొల్యూషన్‌లతో (సిస్కో సెక్యూరిటీ ప్యాకెట్ ఎనలైజర్ వంటివి) అనుసంధానిస్తుంది, ఇది మీరు ఎంచుకున్న నెట్‌వర్క్ సెషన్‌లను తర్వాత లోతైన పరిశోధన మరియు విశ్లేషణ కోసం రికార్డ్ చేయడానికి అనుమతిస్తుంది. రెండవది, ప్రత్యేకంగా భద్రతా పనులను విస్తరించడానికి, మేము ఒక ప్రత్యేక nvzFlow ప్రోటోకాల్‌ను అభివృద్ధి చేసాము, ఇది ఎండ్ నోడ్‌లలో (సర్వర్‌లు, వర్క్‌స్టేషన్‌లు మొదలైనవి) అప్లికేషన్‌ల కార్యాచరణను టెలిమెట్రీలోకి "ప్రసారం" చేయడానికి మరియు తదుపరి విశ్లేషణ కోసం కలెక్టర్‌కు ప్రసారం చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. దాని అసలు సంస్కరణలో Stealthwatch నెట్‌వర్క్ స్థాయిలో ఏదైనా ఫ్లో ప్రోటోకాల్‌తో (sFlow, rFlow, Netflow, IPFIX, cFlow, jFlow, NetStream) పనిచేస్తుంటే, nvzFlow మద్దతు నోడ్ స్థాయిలో కూడా డేటా సహసంబంధాన్ని అనుమతిస్తుంది. మొత్తం వ్యవస్థ యొక్క సామర్థ్యాన్ని పెంచడం మరియు సాంప్రదాయ నెట్‌వర్క్ ఫ్లో ఎనలైజర్‌ల కంటే ఎక్కువ దాడులను చూడడం.

భద్రతా దృక్కోణం నుండి నెట్‌ఫ్లో విశ్లేషణ వ్యవస్థల గురించి మాట్లాడేటప్పుడు, మార్కెట్ సిస్కో నుండి ఒకే పరిష్కారానికి పరిమితం కాదని స్పష్టమవుతుంది. మీరు వాణిజ్య మరియు ఉచిత లేదా షేర్‌వేర్ పరిష్కారాలను ఉపయోగించవచ్చు. నేను సిస్కో బ్లాగ్‌లో పోటీదారుల పరిష్కారాలను ఉదాహరణగా ఉదహరించినట్లయితే ఇది చాలా వింతగా ఉంది, కాబట్టి సిల్క్ మరియు ELK అనే రెండు ప్రసిద్ధమైన, సారూప్యమైన, కానీ ఇప్పటికీ విభిన్న సాధనాలను ఉపయోగించి నెట్‌వర్క్ టెలిమెట్రీని ఎలా విశ్లేషించవచ్చనే దాని గురించి నేను కొన్ని మాటలు చెబుతాను.

SILK అనేది ట్రాఫిక్ విశ్లేషణ కోసం సాధనాల సమితి (ఇంటర్నెట్-స్థాయి జ్ఞానం కోసం వ్యవస్థ), అమెరికన్ CERT/CC చే అభివృద్ధి చేయబడింది మరియు ఇది నేటి కథనం సందర్భంలో, Netflow (5వ మరియు 9వ, అత్యంత ప్రజాదరణ పొందిన సంస్కరణలు), IPFIXకి మద్దతు ఇస్తుంది. మరియు sFlow మరియు నెట్‌వర్క్ టెలిమెట్రీలో అనధికారిక చర్యల సంకేతాలను గుర్తించడానికి వివిధ కార్యకలాపాలను నిర్వహించడానికి వివిధ యుటిలిటీలను (rwfilter, rwcount, rwflowpack, మొదలైనవి) ఉపయోగిస్తుంది. కానీ గమనించవలసిన కొన్ని ముఖ్యమైన అంశాలు ఉన్నాయి. SILK అనేది కమాండ్ లైన్ సాధనం, ఇది ఇలాంటి ఆదేశాలను నమోదు చేయడం ద్వారా ఆన్‌లైన్ విశ్లేషణను నిర్వహిస్తుంది (200 బైట్‌ల కంటే పెద్ద ICMP ప్యాకెట్‌లను గుర్తించడం):

rwfilter --flowtypes=all/all --proto=1 --bytes-per-packet=200- --pass=stdout | rwrwcut --fields=sIP,dIP,iType,iCode --num-recs=15

చాలా సౌకర్యంగా లేదు. మీరు iSiLK GUIని ఉపయోగించవచ్చు, కానీ ఇది మీ జీవితాన్ని చాలా సులభతరం చేయదు, విజువలైజేషన్ ఫంక్షన్‌ను మాత్రమే పరిష్కరిస్తుంది మరియు విశ్లేషకుడిని భర్తీ చేయదు. మరియు ఇది రెండవ పాయింట్. ఇప్పటికే పటిష్టమైన విశ్లేషణాత్మక ఆధారం, అనామలీ డిటెక్షన్ అల్గారిథమ్‌లు, సంబంధిత వర్క్‌ఫ్లో మొదలైనవాటిని కలిగి ఉన్న వాణిజ్య పరిష్కారాల మాదిరిగా కాకుండా, సిల్క్ విషయంలో మీరు ఇవన్నీ మీరే చేయాల్సి ఉంటుంది, దీనికి ఇప్పటికే సిద్ధంగా ఉన్నదాని కంటే మీ నుండి కొద్దిగా భిన్నమైన సామర్థ్యాలు అవసరం- ఉపయోగించే సాధనాలు. ఇది మంచిది లేదా చెడ్డది కాదు - ఇది దాదాపు ఏదైనా ఉచిత సాధనం యొక్క లక్షణం, మీరు ఏమి చేయాలో మీకు తెలుసని భావించవచ్చు మరియు ఇది మీకు సహాయం చేస్తుంది (వాణిజ్య సాధనాలు దాని వినియోగదారుల సామర్థ్యాలపై తక్కువ ఆధారపడి ఉంటాయి, అయినప్పటికీ వారు కూడా భావిస్తారు విశ్లేషకులు కనీసం నెట్‌వర్క్ పరిశోధనలు మరియు పర్యవేక్షణ యొక్క ప్రాథమికాలను అర్థం చేసుకుంటారు). అయితే సిల్క్‌కి తిరిగి వద్దాం. దానితో విశ్లేషకుల పని చక్రం ఇలా కనిపిస్తుంది:

• పరికల్పనను రూపొందించడం. నెట్‌వర్క్ టెలిమెట్రీ లోపల మనం దేని కోసం వెతుకుతున్నామో అర్థం చేసుకోవాలి, నిర్దిష్ట క్రమరాహిత్యాలు లేదా బెదిరింపులను గుర్తించే ప్రత్యేక లక్షణాలను తెలుసుకోవాలి.
• ఒక నమూనాను నిర్మించడం. పరికల్పనను రూపొందించిన తర్వాత, మేము అదే పైథాన్, షెల్ లేదా సిల్క్‌లో చేర్చని ఇతర సాధనాలను ఉపయోగించి ప్రోగ్రామ్ చేస్తాము.
• పరీక్షిస్తోంది. 'rw', 'set', 'bag'తో ప్రారంభమయ్యే SiLK యుటిలిటీలను ఉపయోగించి ధృవీకరించబడిన లేదా తిరస్కరించబడిన మా పరికల్పన యొక్క ఖచ్చితత్వాన్ని తనిఖీ చేయడానికి ఇది సమయం.
• నిజమైన డేటా యొక్క విశ్లేషణ. పారిశ్రామిక ఆపరేషన్‌లో, సిల్క్ ఏదైనా గుర్తించడంలో మాకు సహాయపడుతుంది మరియు విశ్లేషకుడు “మేము ఊహించిన దాన్ని కనుగొన్నామా?”, “ఇది మా పరికల్పనకు అనుగుణంగా ఉందా?”, “తప్పుడు పాజిటివ్‌ల సంఖ్యను ఎలా తగ్గించాలి?”, “ఎలా అనే ప్రశ్నలకు సమాధానం ఇవ్వాలి. గుర్తింపు స్థాయిని మెరుగుపరచడానికి? » మరియు అందువలన న.
• అభివృద్ధి. చివరి దశలో, మేము ఇంతకు ముందు చేసిన వాటిని మెరుగుపరుస్తాము - మేము టెంప్లేట్‌లను సృష్టిస్తాము, కోడ్‌ను మెరుగుపరచడం మరియు ఆప్టిమైజ్ చేయడం, పరికల్పనను పునర్నిర్మించడం మరియు స్పష్టం చేయడం మొదలైనవి.

ఈ సైకిల్ Cisco Stealthwatchకి కూడా వర్తిస్తుంది, చివరిది మాత్రమే ఈ ఐదు దశలను గరిష్టంగా ఆటోమేట్ చేస్తుంది, విశ్లేషకుల లోపాల సంఖ్యను తగ్గిస్తుంది మరియు సంఘటన గుర్తింపు సామర్థ్యాన్ని పెంచుతుంది. ఉదాహరణకు, SiLKలో మీరు చేతితో వ్రాసిన స్క్రిప్ట్‌లను ఉపయోగించి హానికరమైన IPలపై బాహ్య డేటాతో నెట్‌వర్క్ గణాంకాలను మెరుగుపరచవచ్చు మరియు Cisco Stealthwatchలో ఇది ఒక అంతర్నిర్మిత ఫంక్షన్, నెట్‌వర్క్ ట్రాఫిక్ బ్లాక్‌లిస్ట్ నుండి IP చిరునామాలతో పరస్పర చర్యలను కలిగి ఉంటే వెంటనే అలారంను ప్రదర్శిస్తుంది.

మీరు ఫ్లో అనాలిసిస్ సాఫ్ట్‌వేర్ కోసం “చెల్లింపు” పిరమిడ్‌లో ఎక్కువగా వెళితే, పూర్తిగా ఉచిత సిల్క్ తర్వాత షేర్‌వేర్ ELK ఉంటుంది, ఇందులో మూడు కీలక భాగాలు ఉంటాయి - ఎలాస్టిక్‌సెర్చ్ (ఇండెక్సింగ్, సెర్చింగ్ మరియు డేటా అనాలిసిస్), లాగ్‌స్టాష్ (డేటా ఇన్‌పుట్/అవుట్‌పుట్). ) మరియు కిబానా (విజువలైజేషన్). సిల్క్ వలె కాకుండా, మీరు ప్రతిదీ మీరే వ్రాయవలసి ఉంటుంది, నెట్‌వర్క్ టెలిమెట్రీ యొక్క విశ్లేషణను ఆటోమేట్ చేసే అనేక రెడీమేడ్ లైబ్రరీలు/మాడ్యూల్స్ (కొన్ని చెల్లించినవి, కొన్ని కాదు) ELKలో ఇప్పటికే ఉన్నాయి. ఉదాహరణకు, లాగ్‌స్టాష్‌లోని జియోఐపి ఫిల్టర్ పర్యవేక్షించబడిన IP చిరునామాలను వాటి భౌగోళిక స్థానంతో అనుబంధించడానికి మిమ్మల్ని అనుమతిస్తుంది (స్టీల్‌త్‌వాచ్‌లో ఈ అంతర్నిర్మిత ఫీచర్ ఉంది).

ELK ఈ మానిటరింగ్ సొల్యూషన్ కోసం తప్పిపోయిన భాగాలను పూర్తి చేస్తున్న చాలా పెద్ద కమ్యూనిటీని కూడా కలిగి ఉంది. ఉదాహరణకు, Netflow, IPFIX మరియు sFlowతో పని చేయడానికి మీరు మాడ్యూల్‌ని ఉపయోగించవచ్చు ఎలాస్టిఫ్లో, Netflowకి మాత్రమే మద్దతిచ్చే Logstash Netflow మాడ్యూల్‌తో మీరు సంతృప్తి చెందకపోతే.

ప్రవాహాన్ని సేకరించడం మరియు దానిలో శోధించడంలో మరింత సామర్థ్యాన్ని ఇస్తూ, నెట్‌వర్క్ టెలిమెట్రీలో క్రమరాహిత్యాలు మరియు బెదిరింపులను గుర్తించడానికి ELK ప్రస్తుతం గొప్ప అంతర్నిర్మిత విశ్లేషణలను కలిగి లేదు. అంటే, పైన వివరించిన జీవిత చక్రాన్ని అనుసరించి, మీరు స్వతంత్రంగా ఉల్లంఘన నమూనాలను వివరించాలి మరియు దానిని పోరాట వ్యవస్థలో ఉపయోగించాలి (అక్కడ అంతర్నిర్మిత నమూనాలు లేవు).

నెట్‌వర్క్ టెలిమెట్రీలో క్రమరాహిత్యాలను గుర్తించడానికి ఇప్పటికే కొన్ని మోడళ్లను కలిగి ఉన్న ELK కోసం మరింత అధునాతన పొడిగింపులు ఉన్నాయి, అయితే అలాంటి పొడిగింపులకు డబ్బు ఖర్చవుతుంది మరియు ఆట కొవ్వొత్తికి విలువైనదేనా అనేది ప్రశ్న - ఇదే మోడల్‌ను మీరే వ్రాయండి, దాని అమలును కొనుగోలు చేయండి మీ పర్యవేక్షణ సాధనం కోసం లేదా నెట్‌వర్క్ ట్రాఫిక్ అనాలిసిస్ క్లాస్ యొక్క రెడీమేడ్ సొల్యూషన్‌ను కొనుగోలు చేయండి.

సాధారణంగా, నెట్‌వర్క్ టెలిమెట్రీలో (ఉదాహరణకు, సిస్కో స్టెల్‌త్‌వాచ్) క్రమరాహిత్యాలు మరియు బెదిరింపులను పర్యవేక్షించడానికి డబ్బు ఖర్చు చేసి రెడీమేడ్ సొల్యూషన్‌ని కొనుగోలు చేయడం మంచిదని నేను చర్చలోకి రాకూడదనుకుంటున్నాను (ఉదాహరణకు, సిస్కో స్టీల్‌త్‌వాచ్) ప్రతి కొత్త ముప్పు కోసం సిల్క్, ELK లేదా nfdump లేదా OSU ఫ్లో టూల్స్ ( నేను వాటిలో చివరి రెండు గురించి మాట్లాడుతున్నాను చెప్పారు చివరిసారి)? ప్రతి ఒక్కరూ తమ కోసం ఎంచుకుంటారు మరియు ప్రతి ఒక్కరికి రెండు ఎంపికలలో దేనినైనా ఎంచుకోవడానికి వారి స్వంత ఉద్దేశాలు ఉంటాయి. మీ అంతర్గత ఇన్‌ఫ్రాస్ట్రక్చర్ యొక్క నెట్‌వర్క్ భద్రతను నిర్ధారించడంలో నెట్‌వర్క్ టెలిమెట్రీ చాలా ముఖ్యమైన సాధనం అని నేను చూపించాలనుకుంటున్నాను మరియు మీరు దానిని విస్మరించకూడదు, తద్వారా ఎపిథెట్‌లతో పాటు మీడియాలో పేర్కొన్న కంపెనీల జాబితాలో చేరకూడదు. హ్యాక్ చేయబడింది", "సమాచార భద్రతా అవసరాలకు అనుగుణంగా లేదు" ", "వారి డేటా మరియు కస్టమర్ డేటా భద్రత గురించి ఆలోచించడం లేదు."

సంగ్రహంగా చెప్పాలంటే, మీ అంతర్గత అవస్థాపనకు సంబంధించిన సమాచార భద్రతా పర్యవేక్షణను నిర్మించేటప్పుడు మీరు అనుసరించాల్సిన ముఖ్య చిట్కాలను నేను జాబితా చేయాలనుకుంటున్నాను:

1. కేవలం చుట్టుకొలతకే పరిమితం కావద్దు! ట్రాఫిక్‌ను పాయింట్ A నుండి పాయింట్ Bకి తరలించడానికి మాత్రమే కాకుండా, సైబర్‌ సెక్యూరిటీ సమస్యలను పరిష్కరించడానికి కూడా నెట్‌వర్క్ మౌలిక సదుపాయాలను ఉపయోగించండి (మరియు ఎంచుకోండి).
2. మీ నెట్‌వర్క్ పరికరాలలో ఇప్పటికే ఉన్న సమాచార భద్రతా పర్యవేక్షణ మెకానిజమ్‌లను అధ్యయనం చేయండి మరియు వాటిని ఉపయోగించండి.
3. అంతర్గత పర్యవేక్షణ కోసం, టెలిమెట్రీ విశ్లేషణకు ప్రాధాన్యత ఇవ్వండి - ఇది నెట్‌వర్క్ ప్యాకెట్‌లను క్యాప్చర్ చేసేటప్పుడు మరియు అన్ని సమాచార భద్రతా ఈవెంట్‌లను నిల్వ చేయడానికి స్థలాన్ని ఆదా చేసేటప్పుడు అసాధ్యమైన వాటిని చేస్తున్నప్పుడు, అన్ని నెట్‌వర్క్ సమాచార భద్రతా సంఘటనలలో 80-90% వరకు గుర్తించడానికి మిమ్మల్ని అనుమతిస్తుంది.
4. ప్రవాహాలను పర్యవేక్షించడానికి, Netflow v9 లేదా IPFIXని ఉపయోగించండి - అవి భద్రతా సందర్భంలో మరింత సమాచారాన్ని అందిస్తాయి మరియు IPv4 మాత్రమే కాకుండా IPv6, MPLS మొదలైన వాటిని కూడా పర్యవేక్షించడానికి మిమ్మల్ని అనుమతిస్తాయి.
5. నమూనా లేని ఫ్లో ప్రోటోకాల్‌ని ఉపయోగించండి - ఇది బెదిరింపులను గుర్తించడానికి మరింత సమాచారాన్ని అందిస్తుంది. ఉదాహరణకు, Netflow లేదా IPFIX.
6. మీ నెట్‌వర్క్ పరికరాలపై లోడ్‌ని తనిఖీ చేయండి - ఇది ఫ్లో ప్రోటోకాల్‌ను కూడా నిర్వహించలేకపోవచ్చు. ఆపై వర్చువల్ సెన్సార్‌లు లేదా నెట్‌ఫ్లో జనరేషన్ ఉపకరణాన్ని ఉపయోగించడాన్ని పరిగణించండి.
7. యాక్సెస్ స్థాయిలో మొదట నియంత్రణను అమలు చేయండి - ఇది మొత్తం ట్రాఫిక్‌లో 100% చూసే అవకాశాన్ని ఇస్తుంది.
8. మీకు ఎంపిక లేకపోతే మరియు మీరు రష్యన్ నెట్‌వర్క్ పరికరాలను ఉపయోగిస్తుంటే, ఫ్లో ప్రోటోకాల్‌లకు మద్దతిచ్చే లేదా SPAN/RSPAN పోర్ట్‌లను కలిగి ఉండేదాన్ని ఎంచుకోండి.
9. అంచుల వద్ద చొరబాటు/దాడి గుర్తింపు/నివారణ వ్యవస్థలను మరియు అంతర్గత నెట్‌వర్క్‌లో (మేఘాలతో సహా) ప్రవాహ విశ్లేషణ వ్యవస్థలను కలపండి.

చివరి చిట్కాకు సంబంధించి, నేను ఇంతకు ముందు ఇచ్చిన దృష్టాంతాన్ని ఇవ్వాలనుకుంటున్నాను. ఇంతకుముందు సిస్కో ఇన్ఫర్మేషన్ సెక్యూరిటీ సర్వీస్ దాదాపుగా దాని ఇన్ఫర్మేషన్ సెక్యూరిటీ మానిటరింగ్ సిస్టమ్‌ను చొరబాట్లను గుర్తించే వ్యవస్థలు మరియు సంతకం పద్ధతుల ఆధారంగా నిర్మించినట్లయితే, ఇప్పుడు అవి కేవలం 20% సంఘటనలకు మాత్రమే కారణమవుతున్నాయి. మరో 20% ఫ్లో అనాలిసిస్ సిస్టమ్స్‌పై వస్తుంది, ఇది ఈ పరిష్కారాలు ఒక యుక్తి కాదు, కానీ ఆధునిక సంస్థ యొక్క సమాచార భద్రతా సేవల కార్యకలాపాలలో నిజమైన సాధనం అని సూచిస్తుంది. అంతేకాకుండా, వాటి అమలు కోసం మీకు చాలా ముఖ్యమైన విషయం ఉంది - నెట్‌వర్క్ ఇన్‌ఫ్రాస్ట్రక్చర్, నెట్‌వర్క్‌కు సమాచార భద్రత పర్యవేక్షణ విధులను కేటాయించడం ద్వారా మరింత రక్షించబడే పెట్టుబడులు.

నెట్‌వర్క్ ప్రవాహాలలో గుర్తించబడిన క్రమరాహిత్యాలు లేదా బెదిరింపులకు ప్రతిస్పందించే అంశంపై నేను ప్రత్యేకంగా తాకలేదు, అయితే పర్యవేక్షణ ముప్పును గుర్తించడంతో మాత్రమే ముగియకూడదని ఇప్పటికే స్పష్టంగా ఉందని నేను భావిస్తున్నాను. ఇది ప్రతిస్పందనను అనుసరించాలి మరియు ప్రాధాన్యంగా ఆటోమేటిక్ లేదా ఆటోమేటెడ్ మోడ్‌లో ఉండాలి. కానీ ఇది ప్రత్యేక కథనానికి సంబంధించిన అంశం.

అదనపు సమాచారం:

• సిస్కో IOS నెట్‌ఫ్లో వివరణ
• వివిధ సిస్కో సొల్యూషన్స్‌లో నెట్‌ఫ్లో సపోర్ట్ మ్యాట్రిక్స్
• వివిధ సిస్కో ప్లాట్‌ఫారమ్‌లలో నెట్‌ఫ్లో కాన్ఫిగర్ చేయడానికి గైడ్
• sFlow సంఘం
• భద్రతా దృక్కోణం నుండి నెట్‌ఫ్లోను విశ్లేషించడానికి Stealtjwatch, SILK మరియు ELKని ఉపయోగించే ల్యాబ్
• సిల్క్ వెబ్‌సైట్
• టన్నుల కొద్దీ ఉదాహరణలతో సిల్క్‌ని ఉపయోగించడానికి మూడు వందల పేజీల గైడ్
• లాగ్‌స్టాష్ నెట్‌ఫ్లో మాడ్యూల్
• ELKలో నెట్‌ఫ్లో విశ్లేషణకు సిస్కో స్టెప్-బై-స్టెప్ గైడ్
• లాగ్‌స్టాష్ (ELK) ఉపయోగించి నెట్‌ఫ్లో v.9 సిస్కో ASA యొక్క విశ్లేషణ
• Cisco Stealthwatch సొల్యూషన్

PS పైన వ్రాసిన ప్రతిదాన్ని వినడం మీకు సులభమైతే, మీరు ఈ గమనికకు ఆధారమైన గంట సేపు ప్రదర్శనను చూడవచ్చు.

మూలం: www.habr.com