Một trong những cách tốt nhất bạn có thể làm để phát hiện các mối đe dọa bảo mật là theo dõi các kết nối mạng bất thường. Không phải tất cả máy chủ đều cần phải kết nối với các máy chủ khác hoặc thậm chí với mỗi máy trạm. Trong một thế giới hoàn hảo, tất cả các máy chủ và máy trạm sẽ có thể kết nối với các máy tính khác theo một chu kì thời gian định trước. Bất cứ điều gì khác sẽ được gắn cờ đánh dấu không bình thường.
Những kẻ khởi tạo các mối đe dọa và các hành động xâm nhập khác sẽ không thể biết về hoạt động bình thường của những hệ thống mạng này. Chúng trước tiên kết nối từ một máy trạm hoặc máy chủ bị lỗi đến điểm nhảy tiếp theo, bất kể lưu lượng kết nối bình thường hoặc đang được hệ thống kiểm soát. Nếu muốn “phát hiện những kết nối không thể phát hiện được", hãy kiểm tra lưu lượng những kết nối mạng trái phép mới.
Thật không may, đây là một nhiệm vụ thực sự khó khăn. Hầu hết các công ty đều thiếu một sự hiểu biết tốt về việc kiểm soát những kết nối mạng. Nếu bạn không hiểu những gì nên được cho phép, thật khó để phát hiện những bất thường. Ít nhất, bạn nên tạo một sơ đồ hoặc bảng ghi những gì nên được cho phép, bao gồm các ví dụ về các kết nối không nên xảy ra.
Một công cụ giám sát hoàn hảo để kiểm soát lưu lượng mạng không hề tồn tại. Do đó, công cụ hoàn hảo nhất đó chính là kiến thức của bạn.
Hãy theo dõi và ghi lại những kết nối mạng hiện có giữa tất cả các thiết bị đầu cuối. Đặt chúng trong một màn hình thông tin dễ hiểu để xem xét. Hãy để người quản trị mạng xác định những kết nối mạng nào là hợp lệ hoặc không hợp lệ (bước này sẽ mất rất nhiều thời gian nghiên cứu trong hầu hết các tổ chức). Đồng thời, để quản trị viên xác định những cảnh báo cho các thông tin trái phép hoặc thông tin mới, phân quyền đến các tên miền mạng khác nhau hoặc các loại kết nối khác nhau.
Giám sát địa chỉ IP thường là một giải pháp hiệu quả, nhưng cũng nên sử dụng các công cụ theo dõi thông tin về cổng (cổng TCP 80, UDP 53,…). Những công cụ giám sát mạng thường có bản đồ lưu lượng cho thấy những kết nối giữa các máy với nhau. Tuy nhiên, bạn phải kiểm tra trên tất cả các thiết bị đầu cuối và sau đó kết hợp dữ liệu với nhau để phân tích.
InfoWorld gần đây công bố một số công cụ mạng mã nguồn mở như Nagios, Icinga, NeDi, Zabbix và Observium. Mỗi công cụ là một phần của giải pháp nhưng vẫn chưa đủ. Một số công cụ vẫn còn thiếu nhiều tính năng. Một số có khả năng theo dõi và giám sát, nhưng thiếu cảnh báo. Một số có cảnh báo nhưng không hiệu quả về tính năng duyệt tìm. Những công cụ khác lại không sẵn sàng cho doanh nghiệp.
Theo PC World VN.
Bình luận