Бесплатные утилиты для выявления ненормального поведения системы
Одна из полезных практик – начинать искать проблемы заранее, пока они не нашли вас сами. В последнее время в сфере ИТ преобладают реактивные методики обеспечения безопасности: администраторы едва успевают отбиваться от атак, вместо того чтобы их предотвращать. Возможно, дело в том, что многие предприятия слишком стремятся упростить чрезвычайно сложную проблему безопасности, однако к этому их приучает и реактивная природа современных защитных систем, которые опираются на сравнение обнаруженных угроз с имеющимися сигнатурами для выявления и устранения подозрительного поведения.
Переход от реактивной идеологии к проактивной требует от администраторов немалых усилий: нужно понимать, как выглядит нормальный сетевой трафик и нормальная работа приложений, что отнюдь не легко. Именно поэтому многие операторы прибегают к помощи автоматизированных инструментов, которые отличают нормальное поведение от ненормального при помощи искусственного интеллекта. Однако такие системы не обладают самым главным качеством, которое можно условно назвать интуицией: живой администратор замечает ненормальное поведение на инстинктивном уровне.
Как развить у себя такую интуицию? Придется немного запачкать руки, разбираясь в пакетах сетевого трафика, и научиться вычленять в этом потоке глубокоуровневые операции, из которых и складывается нормальное сетевое поведение. Естественно, существуют сотни дорогих инструментов мониторинга, обещающих сделать этот процесс намного легче, но факт остается фактом: сетевой администратор должен разбираться в базовых принципах функционирования сети, прежде чем погружаться в сложные, автоматизированные консоли с непростым интерфейсом в попытке разобраться, что же такое нормальный сетевой трафик.
Иногда начинать лучше всего с бесплатных, условно бесплатных и пробных утилит. Их тоже существует великое множество, и любой из таких инструментов дает достаточно информации для того, чтобы научиться разбираться в сетевом трафике, вычленять ненормальное поведение и вообще понимать, что происходит во вверенной администратору сети.
Для примера можно взять решения немецкой компании Paessler, которая разрабатывает программы для мониторинга компьютерных сетей и заглядывается на корпоративный сектор. Paessler предлагает бесплатную версию своей утилиты PRTG Network Monitor (с ограничением на 10 датчиков) в надежде заинтересовать предприятия в покупке полнофункционального решения для сетевого мониторинга.
В этой бесплатной версии есть инструмент Syslog/SNMP Trap Server, позволяющий собирать информацию от приложений и устройств во всей сети. Сетевые администраторы уже должны в полной мере понимать, насколько удобен стандарт Syslog, который используется для отправки информационных, аналитических и диагностических сообщений о системных событиях, сбоях, критических состояниях и других происшествиях в сети.
Центральный сервер Syslog собирает все сообщения от сетевых устройств и информирует администратора об определенных происшествиях – каких именно, можно настроить в зависимости от типа события, уведомления или предупреждения, посланного устройством или программой. Серверы Syslog можно настроить на использование SNMP Trap для работы с асинхронными уведомлениями от устройств, поддерживающих SNMP. В сочетании Syslog и SNMP можно использовать для отправки данных и отчетов о важных происшествиях. Главное, чтобы отправлялась информация, касающаяся именно нормального или ненормального поведения трафика, а для этого придется поэкспериментировать.
Разумеется, Paessler – не единственный игрок на этом рынке. Но в последнее время компания предлагает все больше помощи тем, кто заинтересован в «бесплатных» инструментах, а это может послужить стимулом к тому, чтобы научить системных администраторов отличать нормальное поведение от ненормального в чересчур сложных корпоративных сетях современности.
Мораль же такова: сетевые администраторы должны быть готовы по локоть погрузиться в сетевой трафик, чтобы научиться разбираться в его поведении.
