fbpx

Produktivita

puzzle

Co se děje v síti III: Flowmon a LOGmanager zasahují

Co přesně se ve vaší síti děje? Hromada věcí! Proto jsme probrali monitoring a visibilitu a také představili české nástroje – Flowmon a LOGmanager – pro tuto oblast. Dnes se zaměříme na to, jak spolu fungují v praxi a vzájemně si mohou pomoci.

 

Na první pohled se zdá, že jsou si obě řešení podobná, jelikož poskytují podobné informace o provozu a bezpečnosti v síti. Ale není tomu tak: Každé z obou řešení se totiž zaměřuje na úplně rozdílnou část používané infrastruktury. Právě proto dává smysl mít obě řešení nasazená společně.

 

Pár situací z praxe

Představte si následující situaci: Firma si pořídí Flowmon, který jí monitoruje síť. Po propuštění jednoho ze zaměstnanců dojde k zjištění, že došlo k úniku citlivých dat z jednoho ze serverů. Pokud by k úniku došlo vzdáleně, jsou všechny podklady k prokázání incidentu dostupné. Útočník však zcizil data přímo z koncové stanice (serveru) a tudíž nedošlo k přenosu dat v síti.

A přesně v takovém případě je vhodné mít LOGmanager, který sbírá logy ze všech koncových stanic. Pokud je útočník schopen po sobě zamést stopy na koncovém zařízení, tak v LOGmanageru jsou zabezpečeně k dispozici.

Nebo si představte tohle: Firma má v síti řádně implementovaný LOGmanger a dojde k útoku typu „Port scanning“. Tento typ útoku negeneruje sám o sobě žádné logy, nicméně Flowmon díky svému systému detekce anomálií a analýzy chování sítě (NBAD) tuto skutečnost odhalí a upozorní na ni. Díky tomu může administrátor okamžitě zakročit a útok ukončit.

A tenhle třeba také znáte: Zaměstnanci firmy používají webový portál, který je náhle nedostupný. Pomocí LOGmanageru lze v logu ověřit, že tomu tak opravdu je a kdy k tomu došlo. Ovšem bez zjištění příčiny vzniku. Zjistit proč k dané situaci došlo a zároveň identifikovat příčinu problému zvládne Flowmon APM modul. V tomto případě byla chyba v databázovém serveru, kde dodavatel provedl update s chybným kódem.

V kostce

Flowmon monitoruje síťový provoz a dokáže vyhodnotit, zda v něm nedochází k anomáliím či útokům. Také dokáže sledovat, jak fungují používané aplikace (včetně cloudových), jak se chovají uživatelé v síti, servery a jejich služby apod. či zda se jejich chování nějakým způsobem nezměnilo.

V případě, že je takové chování detekováno, Flowmon vyhodnotí, jak velké bezpečnostní riziko představuje a upozorní administrátora. Pro útočníka znamená nasazení Flowmonu v síti velkou překážku, jelikož je z pohledu provozu v síti neviditelný, a útočník jej tak nedokáže odhalit a ovlivnit uložené záznamy.

 

LOGmanager se naopak soustředí na informace, které získává z jednotlivých zařízení komunikujících v síti. Dokáže tak upozornit na nestandardní chování uživatelů (včetně pokusu o zcizení dat) na samotném PC nebo serveru a dává možnost identifikovat i provozní stavy koncových zařízení (např. vytížení či přehřátí CPU, kritické chyby transportní vrstvy apod.).

Zjednodušeně lze říci, že pošle-li zařízení či jakýkoliv zdroj v síti informaci o události, LOGmanager ji uloží a zpracuje, umožní její interpretaci a hlavně zamezí jakékoli manipulaci s jejím obsahem.

Ve dvou se to lépe táhne

Každá z uvedených technologií řeší jiný problém: Flowmon síť jako celek a LOGmanager lokální prvky v síti. Nasazením pouze jedné technologie je viditelná jen jedna část sítě, a tudíž vyřešena jen část provozních nebo bezpečnostních událostí. Bezpečnost sítě se ale nesmí dělat jen napůl.

Teprve při nasazení obou technologií lze získat ucelený přehled o stavu sítě, včetně koncových zařízení, a to z pohledu provozního i bezpečnostního. V případě bezpečnostního incidentu lze doložit všechny potřebné informace ke splnění požadavků Kybernetického zákona, GDPR a auditů.

A nebojte se: Implementace obou technologií je snadná a obejde se bez velkých zásahů do stávající infrastruktury. Obě technologie lze přitom využívat jako cenný zdroj informací pro již provozované SIEM systémy.

Sdílet:

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?