Las redes actuales han evolucionado mucho desde sus inicios y se han convertido en sistemas bastante complejos que abarcan muchos dispositivos, protocolos y aplicaciones de red diferentes. En consecuencia, es prácticamente imposible tener una imagen completa de lo que sucede en la red o si todo funciona como debería.
Independientemente de cómo surjan los problemas de red, debe eliminarlos lo más rápido posible e, idealmente, evitar que se repitan en el futuro. Existen diferentes tipos de soluciones para este propósito, incluyendo antivirus, firewall e IDS. Pero antes de que se pueda eliminar un problema, se debe detectar, independientemente de cómo se haya producido.
¿Qué es una Anomalía de Red?
Los problemas en las redes informáticas se detectan a través de las anomalías de tráfico que provocan. En general, una anomalía es algo que va contra la corriente. Por ejemplo, un conmutador averiado puede crear un tráfico inesperado en otra parte de la red o hacer que aparezcan nuevos códigos de error cuando un servicio está inactivo.
El primer método de clasificación de anomalías se basa en cómo se diferencian de la comunicación ordinaria. Las anomalías pueden variar según el tipo de datos transferidos (comportamiento), la cantidad de datos transferidos (por volumen) o ambos. Otra forma de clasificar las anomalías es según su causa:
Error no humano - ejemplo: falla del equipo o comunicación de radio interrumpida por el clima;
Error humano - ejemplo: interrupción del servicio de red causada por una configuración incorrecta o un cable de red desconectado accidentalmente;
Actividad humana maliciosa : ejemplo: un ataque interno, en el que un empleado de la empresa descontento daña una impresora, o un ataque externo en el que un hacker intenta desactivar la red y causar daños a la empresa.
¿Qué es un Anomaly Detection System (Sistema de Detección de Anomalías)?
La detección de anomalías requiere una supervisión y un análisis constantes de las métricas de la red. El Sistema de Detección de Anomalías asegura que cuando se detecte algo inesperado y se analice como anomalía, esa información será reportada al administrador de la red.
Hay dos categorías de Monitoreo de red que le permiten detectar anomalías:
Supervisión pasiva de la red
La red informática incluye sondas que reciben datos de la red y los evalúan. Estos datos se pueden dirigir directamente a las sondas (p. ej., eventos enviados a través del protocolo SNMP) o pueden ser una copia del tráfico de producción, que tiene lugar en la red.
Supervisión activa de la red
Las redes también pueden contener sondas como en el monitoreo pasivo, pero generan tráfico adicional, que envían a través de la red. Con la ayuda de este tráfico, es posible determinar regularmente la disponibilidad o los parámetros generales de los servicios, líneas de red y dispositivos probados.
Diferencias entre Monitoreo de Red Activo y Pasivo en Detección de Anomalías
Puede parecer que el Monitoreo Activo tiene más funciones que el Monitoreo Pasivo, lo que lo convierte automáticamente en la mejor opción. Sin embargo, el problema con Active Monitoring es que genera datos adicionales en la red. Es decir, los dispositivos de monitoreo pasan a formar parte de la red de producción (lo que puede traer, por ejemplo, riesgos de seguridad) y, en consecuencia, el monitoreo no es del todo transparente.
Otro problema potencial es que los datos de monitoreo en sí mismos pueden afectar la funcionalidad de la red y por lo tanto ser una fuente de problemas y anomalías. Dados estos inconvenientes, este artículo solo se enfoca en el monitoreo pasivo de anomalías en la red.
En general, la detección de anomalías se puede dividir en diferentes componentes básicos que tienen las siguientes funcionalidades:
Parametrización : los datos monitoreados se separan de los datos de entrada en una forma adecuada para su posterior procesamiento.
Capacitación : en este componente, se actualiza el modelo de red (estado capacitado). Esta actualización se puede realizar de forma automática o manual.
Detección : el modelo creado (entrenado) se usa para comparar datos de la red monitoreada. Si cumple con ciertos criterios, se genera un informe de detección de anomalías.
¿Para qué sirve la Detección de Anomalías?
Detección de ransomware : la detección se realiza buscando una firma de archivo ejecutable
Detección de ataques DDoS : al comparar la cantidad actual de tráfico con la cantidad esperada, se puede detectar el ataque
Seguimiento de actividad de botnet: con una lista de servidores de control y comando de botnet conocidos, es posible detectar conexiones a estos servidores
Detección de ataques de fuerza bruta : al contar el número de intentos de inicio de sesión y comparar el número con los valores de umbral, es posible detectar intentos de piratear una cuenta
Detección de fallas en el enlace : esto se puede identificar al detectar la cantidad creciente de conexiones en el enlace de respaldo
Detección de configuración incorrecta de la aplicación: se puede detectar mediante una mayor cantidad de códigos de error en las conexiones de la aplicación
Detección de sobrecarga del servidor : al detectar una disminución en la calidad de la experiencia, es posible detectar servicios o servidores sobrecargados
Detección de comportamiento de dispositivos sospechosos : al crear perfiles de comportamiento y verificar si algún dispositivo se comporta fuera de los perfiles creados, es posible detectar actividades sospechosas.
Métodos de detección de anomalías
Suscripciones basadas en conocimiento
Una firma describe con precisión qué tipo de datos está buscando el sistema. Un ejemplo de suscripción podría ser buscar un paquete que tenga la misma dirección IP de origen que la dirección IP de destino o buscar contenido específico en el paquete.
Línea de base basada en estadísticas
La línea de base describe una cantidad de datos transferidos que comparten ciertas características comunes. Por ejemplo, podría ser el número de conexiones TCP detectadas cada 5 minutos. Se produce una anomalía cuando el valor actual (el número de consultas en los últimos 5 minutos) se desvía de la línea base. Otro ejemplo es buscar un cambio en la distribución de paquetes según los puertos a los que van.
Uso del aprendizaje automático para la detección de anomalías
Para que las firmas sean precisas y detecten anomalías de red conocidas, deben crearse manualmente utilizando el conocimiento de cada problema o ataque. Las líneas de base, por otro lado, pueden hacer uso de algoritmos de aprendizaje automático. La principal ventaja de usar el aprendizaje automático es que la línea de base puede cambiar con el tiempo según los datos que se detectaron realmente, lo que permite aprender de los resultados anteriores.
Los algoritmos de aprendizaje automático son utilizados por los sistemas de detección de intrusos basados en anomalías, que funcionan según el principio de buscar desviaciones de una norma aprendida.
La ventaja de usar Machine Learning es que este método rara vez requiere algún conocimiento de la red que se está monitoreando, pero aun así podrá aprender el comportamiento esperado y detectar anomalías. Sin embargo, existe una desventaja en la que si un error se manifiesta por un aumento gradual en ciertos atributos, no se detectarán anomalías. En cambio, el modelo aprendido se acomodará lentamente al nuevo aumento y no pasará nada. Un ataque sofisticado puede aprovechar esto para evitar la detección.
Flowmon ADS para aumentar la visibilidad y la seguridad en toda su infraestructura de TI
Impulsado por un motor de detección inteligente, Flowmon ADS aprovecha los algoritmos de análisis de comportamiento para detectar anomalías ocultas en el tráfico de la red para exponer comportamientos maliciosos, ataques contra aplicaciones críticas, filtraciones de datos e indicadores de compromiso.
Fuente: Flowmon
Comuníquese con TI internacional para obtener más detalles o para ejecutar una prueba de la solución Flowmon en su entorno.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
