As redes de hoje evoluíram muito desde seus primeiros dias e se tornaram sistemas bastante complexos que abrangem vários dispositivos, protocolos e aplicativos de rede diferentes. Consequentemente, é praticamente impossível ter uma visão completa do que está acontecendo na rede ou se tudo está funcionando como deveria.
VEJA TAMBÉM: Anomaly Detection System e o Monitoramento ICS/SCADA
Independentemente de como os problemas de rede surgem, é necessário eliminá-los o mais rápido possível e, idealmente, evitar que se repitam no futuro. Existem diferentes tipos de soluções para esta finalidade, incluindo antivírus, firewall e IDS. Mas antes que um problema possa ser eliminado, ele deve ser detectado, independentemente de como eles ocorreram.
O que é uma Anomalia de Rede?
Problemas em redes de computadores são detectados através das anomalias de tráfego que causam. Em geral, uma anomalia é algo que vai contra a expectativa. Por exemplo, um switch danificado pode criar tráfego inesperado em outra parte da rede ou fazer com que novos códigos de erro apareçam quando um serviço estiver inativo.
O primeiro método de classificação de anomalias tem como base a maneira como elas diferem da comunicação comum. As anomalias podem variar pelo tipo de dados transferidos (comportamentais), pela quantidade de dados transferidos (por volume) ou por ambos os critérios. Outra maneira de classificar as anomalias é de acordo com sua causa:
Erro não humano - exemplo: falha do equipamento ou comunicação de rádio interrompida pelo clima;
Erro humano - exemplo: interrupção do serviço de rede causada por configuração incorreta ou um cabo de rede desconectado acidentalmente;
Atividade humana maliciosa – exemplo: um ataque interno, em que um funcionário insatisfeito da empresa danifica uma impressora ou um ataque externo em que um hacker tenta desabilitar a rede e causar danos à empresa.
O que é um Anomaly Detection System (Sistema de Detecção de Anomalias)?
A detecção de anomalias requer monitoramento e análise constantes de métricas de rede. O Anomaly Detection System garante que quando algo inesperado é detectado e analisado como uma anomalia, essa informação será relatada ao administrador da rede.
Existem duas categorias de Monitoramento de Rede que permitem detectar anomalias:
Monitoramento Passivo de Rede
A rede de computadores inclui probes que recebem dados da rede e os avaliam. Esses dados podem ser direcionados diretamente para os probes (por exemplo, eventos enviados por meio do protocolo SNMP) ou podem ser uma cópia do tráfego de produção, que ocorre na rede.
Monitoramento Ativo de Rede
As redes também podem conter probes como no monitoramento passivo, mas eles geram tráfego adicional, que enviam pela rede. Com a ajuda desse tráfego, é possível determinar regularmente a disponibilidade ou os parâmetros gerais dos serviços, linhas de rede e dispositivos testados.
Diferenças entre Monitoramento Ativo e Passivo de Rede na Detecção de Anomalias
Pode parecer que o Monitoramento Ativo possui mais recursos do que o Monitoramento Passivo, tornando-o automaticamente a melhor opção. No entanto, o problema com o Monitoramento Ativo é que ele gera dados adicionais na rede. Ou seja, os dispositivos de monitoramento passam a fazer parte da rede de produção (o que pode trazer, por exemplo, riscos de segurança) e, consequentemente, o monitoramento não é totalmente transparente.
Outro problema potencial é que os próprios dados de monitoramento podem afetar a funcionalidade da rede e, portanto, ser uma fonte de problemas e anomalias. Dadas essas desvantagens, este artigo se concentra apenas no Monitoramento Passivo de Anomalias de Rede.
Em geral, a detecção de anomalias pode ser dividida em diferentes componentes básicos que possuem as seguintes funcionalidades:
Parametrização - Os dados monitorados são separados dos dados de entrada em uma forma adequada para processamento posterior.
Treinamento - Neste componente, o modelo de rede (status treinado) é atualizado. Esta atualização pode ser feita automaticamente ou manualmente.
Detecção - O modelo criado (treinado) é então usado para comparar dados da rede monitorada. Se atender a determinados critérios, é gerado um relatório de detecção de anomalias.
Para que serve a Detecção de Anomalias?
Detecção de ransomware - a detecção é feita procurando uma assinatura do arquivo executável
Detecção de ataque DDoS - comparando a quantidade de tráfego atual com a quantidade esperada, o ataque pode ser detectado
Rastreamento de atividade de botnet - com uma lista de servidores conhecidos de comando e controle de botnet, é possível detectar conexões com esses servidores
Detecção de ataque de força bruta - contando o número de tentativas de login e comparando o número com valores de limite, é possível detectar tentativas de hackear uma conta
Detecção de falha de link - isso pode ser identificado detectando o aumento da quantidade de conexões no link de backup
Detecção de configuração incorreta do aplicativo - pode ser detectado por uma quantidade maior de códigos de erro nas conexões do aplicativo
Detecção de sobrecarga do servidor - ao detectar uma diminuição na qualidade da experiência, é possível detectar serviços ou servidores sobrecarregados
Detecção de comportamento de dispositivo suspeito - ao criar perfis de comportamento e verificar se algum dispositivo se comporta fora dos perfis criados, é possível detectar atividades suspeitas
Métodos de Detecção de Anomalias
Assinaturas com base no conhecimento
Uma assinatura descreve com precisão que tipo de dados o sistema procura. Um exemplo de assinatura pode ser pesquisar um pacote que tenha o mesmo endereço IP de origem que de destino ou pesquisar um conteúdo específico no pacote.
Baseline com base em estatísticas
Baseline descreve uma quantidade de dados transferidos que compartilham determinados recursos comuns. Por exemplo, pode ser o número de conexões TCP detectadas a cada 5 minutos. Uma anomalia ocorre quando o valor atual (o número de consultas nos últimos 5 minutos) diverge da linha de base. Outro exemplo é buscar uma mudança na distribuição de pacotes de acordo com as portas para as quais eles se dirigem.
Uso de Machine Learning para Detecção de Anomalias
Para que as assinaturas sejam precisas e detectem anomalias conhecidas na rede, elas devem ser criadas manualmente usando o conhecimento de cada problema ou ataque. Baselines, por outro lado, podem fazer uso de algoritmos de Machine Learning. A principal vantagem de usar o aprendizado de máquina é que a linha de base pode mudar ao longo do tempo, dependendo de quais dados foram realmente detectados, tornando possível aprender com os resultados anteriores.
Algoritmos de Machine Learning são usados por sistemas de detecção de intrusão com base em anomalias, que funcionam utilizando o princípio de buscar desvios de uma norma aprendida.
A vantagem de usar Machine Learning é que esse método raramente exige qualquer conhecimento da rede que está sendo monitorada, e ainda assim conseguirá aprender o comportamento esperado e detectar anomalias. Há, no entanto, uma desvantagem em que, se um erro se manifestar por um aumento gradual de certos atributos, nenhuma anomalia será detectada. Em vez disso, o modelo aprendido acomodará lentamente o novo aumento e nada acontecerá. Um ataque sofisticado pode tirar vantagem disso para evitar a detecção.
Flowmon ADS para ampliar a visibilidade e a segurança em sua infraestrutura de TI
Alimentado por um mecanismo de detecção inteligente, o Flowmon ADS aproveita algoritmos de análise de comportamento para detectar anomalias ocultas no tráfego de rede para expor comportamentos maliciosos, ataques contra aplicativos críticos, violações de dados e indicadores de comprometimento.
Fonte: Flowmon
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
