- Ipinapakita ng pag-audit ng kagamitan sa network ang aktwal na imbentaryo, katayuan ng imprastraktura, at mga kahinaan bago pa man magdulot ang mga ito ng mga pagkawala ng kuryente o paglabag.
- Ang mga software at hardware tool, kasama ang mga protocol tulad ng SNMP, LLDP, NetFlow at ARP, ay nagbibigay-daan sa iyong matuklasan ang topolohiya at lubusang suriin ang trapiko.
- Pinagsasama ng isang mahusay na metodolohiya ang pisikal at lohikal na pagsusuri, panloob at panlabas na pagsusuri sa seguridad, at isang nakabalangkas na pagsusuri ng mga resulta na may malinaw na mga rekomendasyon.
- Ang patuloy na pagsubaybay at pagsusuri ng network ay nagiging mahalaga sa pagpapanatili ng performance, availability, pagsunod sa mga regulasyon, at proteksyon laban sa mga cyberattack.
Ang network ng isang kumpanya ay naging sistemang nerbiyos ng buong negosyoKung mabigo ito, hihinto ang produksyon, mapuputol ang access sa mga kritikal na aplikasyon, at ang panganib ng isang malubhang insidente sa seguridad, tulad ng mga sumusunod, ay tataas nang malaki: cyberattacks sa EspanyaHindi na sapat ang pag-on ng kagamitan at "pag-browse"; kailangang malaman kung ano talaga ang nangyayari sa pamamagitan ng mga kable at Wi-Fi, kung sino ang kumokonekta, kung paano gumagana ang imprastraktura, at kung anong mga pinto ang bukas sa mga potensyal na umaatake.
Pinagsasama ng isang mahusay na pagsusuri ng kagamitan sa network ang pag-awdit, pagsubaybay, at pagsusuri ng seguridad. para masagot ang mga pangunahing tanong: Tama ba ang laki ng network? Mayroon bang mga lumang device na nagpapabagal sa performance? Mayroon bang mga kakulangan sa seguridad? mga virus ng computer O mga protocol na hindi maayos ang pagpapatupad? Anong trapiko ang pumapasok at lumalabas sa Internet, at saang mga destinasyon patungo? Sa buong artikulong ito, susuriin natin nang detalyado kung paano nilapitan ang pagsusuring ito at kung anong mga kagamitan at pamamaraan ang ginagamit sa parehong korporasyon at industriyal na kapaligiran.
Bakit napakahalagang suriin at i-audit ang network
Ang mga pag-audit ng network ay nagbibigay-daan sa iyo upang malaman ang "katayuan ng kalusugan" ng imprastraktura at mahulaan ang mga problema bago pa man magdulot ang mga ito ng malawakang pagkawala ng serbisyo o paglabag sa seguridad. Matutukoy ng mga pagsusuring ito ang mga maling pag-configure, mga bottleneck sa pagganap, mga hindi sinusuportahang kagamitan, mga kahinaan, mga panloob at panlabas na banta, o kahit mga maling anyo ng mga frame na maaaring magpahina sa katatagan ng mga end system.
Sa mga corporate network, ang karaniwang pokus ay sa internet access.Dahil kadalasan ito ang pinakamabigat at kritikal na link sa buong organisasyon, ang mahinang pamamahala ng bandwidth o isang panlabas na pag-atake ay maaaring mag-iwan sa buong workforce na walang serbisyo. Gayunpaman, sa mga industrial network, iba ang hamon: ang bilang ng mga proprietary o hindi maayos na dokumentadong protocol ay kadalasang nangangailangan ng paggamit ng mga espesyalisadong analyzer na may kakayahang umunawa sa bawat frame at mag-validate sa implementasyon nito.
Higit pa sa paglutas ng mga partikular na problemaBumabaling ang mga organisasyon sa pagsusuri at pag-awdit ng network kapag kailangan nilang suriin kung ano talaga ang kanilang naipatupad, maghanda para sa isang malaking pag-upgrade ng imprastraktura, matugunan ang mga kinakailangan ng regulasyon (hal., PCI DSS sa sektor ng pananalapi), o tiyakin lamang na ang network ay nananatiling nakahanay sa kasalukuyang mga pangangailangan ng negosyo.
Ang mga pag-audit na ito ay hindi limitado sa seguridadSinusuri rin nila ang availability, pagganap, kalidad ng serbisyo, mga proseso ng pagsubaybay, mga kontrol sa pag-access at administrasyon, upang mailabas ang isang pormal na ulat na may kasamang mga kahinaan, panganib at malinaw na mga rekomendasyon para sa pamamahala at sa teknikal na pangkat.
Kumpletong pag-audit ng imprastraktura ng network at IT
Ang unang bahagi ng pagsusuri ay nagsasangkot ng isang masusing pagsusuri ng buong imprastraktura ng IT.: mga server (kasama kung paano mag-set up ng home serverKabilang dito ang mga switch, router, firewall, wireless access point, power system, structured cabling, end device, at, sa mga industriyal na kapaligiran, mga kagamitan sa pagkontrol at automation. Ang layunin ay upang mapatunayan na ang lahat ng hardware ay maayos na dokumentado, sinusuportahan ng tagagawa, at nasa pinakamainam na kondisyon ng pagpapatakbo.
Sa yugtong ito, isang napakadetalyadong imbentaryo ang karaniwang tinitipon. Itinatala ng database na ito ang mga modelo, bersyon ng firmware, kakayahan ng device, mga available na interface, mga naka-install na module, pagiging tugma sa mga protocol ng pamamahala (SNMP, NetFlow, sFlow, atbp.), at mga petsa ng milestone ng lifecycle (katapusan ng pagbebenta, pagtatapos ng suporta, pagtatapos ng buhay). Ang gawaing ito ay maaaring gawin nang manu-mano o gamit ang mga partikular na tool sa pag-awdit na nag-a-automate sa halos lahat ng proseso ng pagtuklas.
Ang mga pag-audit sa imprastraktura ng IT ay hindi lamang natatapos sa pisikal na imbentaryoSinusuri rin nila kung gaano kahusay ang pagkakadisenyo ng mga internal control, network segregation, high availability mechanism, configuration standardization, at IT governance. Ang ideya ay upang beripikahin kung ang mga pinakamahuhusay na kasanayan ay talagang sinusunod o kung ang mga "patch" ay naipon sa paglipas ng panahon.
Ang isang maayos na planadong pagtatasa ng imprastraktura ay nakakatulong upang mas mapalaki at maprotektahan ang networkPinapabuti nito ang scalability, pinapataas ang stability, binabawasan ang downtime, at mas epektibong ginagamit ang umiiral na teknolohiya. Kabilang dito, bukod sa iba pang mga tampok, ang proactive at incremental monitoring, mga mekanismong pang-iwas para sa mataas na availability, pag-optimize at pagsasama-sama ng mga mapagkukunan, at pinahusay na operational visibility.
Kasabay nito, ang mga serbisyo ng IT assurance ay nakatuon sa pagprotekta ng impormasyon Umaasa sa limang haligi ng seguridad: integridad, availability, authentication, confidentiality, at non-repudiation. Kabilang dito ang mga internal at external infrastructure audit, mga serbisyo sa sertipikasyon, pagsusuri ng business resilience, at mga pagsusuri sa mga patakaran sa privacy at proteksyon ng data.
Ang silid ng server at komunikasyon: ang pisikal na puso ng network
Ang silid ng server at komunikasyon ang naglalaman ng mga mahahalagang elemento ng network.Mga pisikal na server, perimeter firewall, pangunahing router, core switch, patch panel, at, sa maraming pagkakataon, kagamitan sa storage at virtualization. Anumang seryosong pagsusuri ng kagamitan sa network ay dapat maglaan ng partikular na atensyon sa lugar na ito.
Ang mga pisikal na aspeto ay kasinghalaga ng mga lohikal.Sinusuri ang temperatura ng paligid, kalinisan at akumulasyon ng alikabok sa kagamitan, ang wastong pagkakaayos ng mga kable sa loob ng mga rack, ang paglalagay ng label sa mga port at kable, ang sapat na paghihiwalay sa pagitan ng power supply at data, pati na rin ang pisikal na pag-access sa silid (kontrol ng mga susi, card, camera, rekord ng pagpasok at paglabas).
Ang router na nagbibigay ng pangunahing koneksyon sa internet ay nararapat sa isang detalyadong pagsusuri.Napatunayan na ang koneksyon na inaalok ng provider ay matatag, ligtas, may sapat na kapasidad, na ang hardware ay may Gigabit Ethernet ports o mas mataas pa, na sinusuportahan nito ang mga kinakailangang protocol sa pagsubaybay, at na ang kalidad ng serbisyo at mga patakaran sa pagkontrol ng bandwidth ay mahusay na natukoy.
Sinusuri rin ang kondisyon ng mga kable na pumapasok at lumalabas sa silid.tinitiyak na ang kategorya (5e, 6 o mas mataas pa) ay naaayon sa kinakailangang bilis, na tama ang mga terminasyon sa mga RJ45 panel at socket, at walang mga splice o "immediate" na koneksyon na maaaring limitahan ang kapasidad ng paglilipat o magdulot ng mga error sa link.
Panghuli, susuriin ang mga pantulong na sistema tulad ng mga UPS, air conditioning at mga sensor.Ang isang UPS na may tamang sukat ay nagbibigay-daan sa mga server at komunikasyon na manatiling aktibo nang sapat na katagalan upang maisagawa ang organisadong mga backup at isara ang kagamitan nang walang panganib na masira ang data. Ang pagpapalamig at pagsubaybay sa kapaligiran ay susi sa pagpapahaba ng buhay ng hardware at pagpigil sa hindi inaasahang downtime.
Mga kagamitan sa switching, access at paglalagay ng kable
Ang mga switch ay responsable para sa matalinong pamamahagi ng trapiko sa lahat ng mga aparatong konektado sa pamamagitan ng Ethernet. Sa panahon ng pagsusuri, sinusuri kung ang kanilang kapasidad sa paglipat, ang bilang ng mga port at ang kanilang bilis (Fast Ethernet, Gigabit, 10 GbE) ay sapat para sa kasalukuyan at sa hinaharap na load, at kung ang anumang mga lumang elektronikong aparato ay naglilimita sa pangkalahatang pagganap ng network.
Medyo karaniwan na makahanap ng mga lumang switch. Ang mga device na ito, na hindi umaabot sa 1000 Mbps, ay nagsisilbing mga bottleneck sa mga pangunahing punto, na humahadlang sa komunikasyon sa pagitan ng mga server, storage, at mga workstation. Ang pagtukoy at pagpapalit ng mga device na ito ay may agarang epekto sa performance na nakikita ng mga gumagamit.
Ang mga wireless access point (AP) ay isa ring mahalagang bahagi ng pagsusuriSinusuri ang kanilang lokasyon upang matiyak ang magkakaparehong saklaw, bineberipika na nakakonekta ang mga ito sa mga network socket na may kakayahang suportahan ang kinakailangang bandwidth, na mayroon silang sapat na kuryente (PoE kung naaangkop) at tama ang kanilang security configuration (WPA2/WPA3, VLANs, client isolation).
Ang uri at kalidad ng nakabalangkas na paglalagay ng kable ay may malaking epekto sa pagganapInirerekomenda na gumamit ng kahit man lang Category 5e o 6 na kable, o mas mataas pa, sa mga bagong instalasyon upang maaasahang masuportahan ang mga bilis ng Gigabit o kahit na 10 Gigabit na bilis sa maiikling distansya. Bukod sa kategoryang ito, sinusuri rin ang mga konektor, wall plate, patch cord, at wastong pagkakalagay sa mga cable tray at conduit.
Ang koneksyon at proteksyong elektrikal ay partikular na sinusuri sa lokasyon ng server.Madaling mapuntahan na lokasyon, koneksyon sa Gigabit o mas mataas pa sa network core, koneksyon sa mga paulit-ulit na UPS, at sapat na pagpapalamig upang maiwasan ang sobrang pag-init. Ang lahat ng mga salik na ito ay direktang nakakaapekto sa katatagan ng mga serbisyong kinokonsumo ng mga gumagamit.
Pagsusuri ng mga konektadong device at seguridad ng network
Isa sa mga pangunahing layunin ng pagsusuri ng kagamitan sa network ay ang malaman kung sino ang konektadoSa pamamagitan ng mga network scan, SNMP query, pagsusuri ng mga ARP at MAC table, at mga discovery tool, natutukoy ang lahat ng kasalukuyang device: mga PC, server, printer, IP camera, IoT device, kagamitang pang-industriya, mobile, atbp., at sinusuri kung awtorisado ang mga ito.
Ang pagkontrol kung aling mga device ang kumokonekta sa network ay mahalaga upang mabawasan ang mga panganib.Ang pagkakaroon ng "phantom" o mga kagamitang hindi naimbentaryo ay kadalasang siyang daan patungo sa mga paglabag sa seguridad. Sa mga industrial network, mapapatunayan pa nga ng mga hardware analyzer na ang mga device ay wastong nagpapatupad ng mga protocol tulad ng Modbus o DNP3, na pumipigil sa hindi inaasahang pag-uugali.
Ang pagsusuri sa seguridad ng network ay sumasaklaw sa ilang mga antasSinusuri ang lohikal na iskema (hinahati sa mga VLAN, demilitarized zone, guest network), sinusuri ang mga patakaran sa firewall at mga listahan ng kontrol sa pag-access, ina-audit ang mga password at pamamaraan ng pagpapatotoo, at beripikahin ang mga solusyon na antimalware, IDS/IPS at mga backup system.
Sa puntong ito, nagiging mahalaga ang pagtatasa ng kahinaan.Batay sa imbentaryo at nakalap na datos, tinatangka ng mga auditor na "atakehin" muna ang network mula sa labas (ginagaya ang isang panlabas na umaatake) at pagkatapos ay mula sa loob (kung ipagpapalagay na ang isang panloob na aparato ay nakompromiso). Ang layunin ay pagdugtungin ang maliliit na kahinaan hanggang sa makamit nila ang mataas na antas ng pag-access at maipakita ang tunay na epekto.
Pagkatapos gamitin ang mga kahinaan, palaging isinasagawa ang manu-manong pag-verify. upang paghiwalayin ang mga maling positibo mula sa mga totoong problema, tukuyin ang mga sistematikong sanhi, at unahin ang mga aksyon sa pagpapagaan. Ang mga natuklasan ay tinipon sa isang ulat ng pamamahala, na may kasamang mga rekomendasyong teknikal at pangnegosyo: pagpapalit ng mga hindi na ginagamit na kagamitan, mga pagbabago sa configuration, pagpapahigpit ng patakaran, pagsasanay sa mga kawani, atbp.
Mga kagamitan sa pagsusuri ng network: software at hardware
Mayroong dalawang pangunahing pamilya ng mga kagamitan para sa pagsusuri ng trapiko sa network at pag-uugali ng kagamitan.: mga solusyong nakabatay sa software, kadalasang generic at may kakayahang bigyang-kahulugan ang malawakang dokumentadong mga protocol, at mga solusyon sa hardware, na mas nakatuon sa mga partikular na kapaligiran (lalo na sa industriyal) at may suporta para sa mga napaka-espesipikong protocol.
Ang pinakakilalang software network analyzers ay ang Wireshark, TCPDump, at Windump.Halimbawa, kinukuha ng Wireshark ang mga frame nang real time at nagbibigay-daan sa iyong suriin ang mga ito nang patong-patong, na ipinapakita ang mga address ng pinagmulan at patutunguhan, mga port, mga flag ng protocol, at nilalaman ng aplikasyon. Ito ay kapaki-pakinabang kapwa para sa pag-diagnose ng mga error at para sa pag-aaral kung ang mga packet ay nakakatugon sa mga ispesipikasyon.
Sa larangan ng imbentaryo at pagmamapa ng network Ginagamit ang mga kagamitang tulad ng SolarWinds, Open-AudIT, at NetformX, na may kakayahang tumuklas ng mga device, bumuo ng mga topology diagram, mag-uugnay ng mga ugnayan sa pagitan ng mga device, at lumikha ng mga komprehensibong ulat. Ang iba pang mga solusyon tulad ng Nessus at Nipper ay nakatuon sa pagtatasa ng seguridad, pagsusuri ng mga configuration, pagmumungkahi ng mga pinakamahusay na kasanayan, at pagtuklas ng mga kahinaan tulad ng... nakatagong cyberattack sa mga browser.
Para sa pagsusuri ng pagganap at detalyadong pagsusuri ng trapikoBukod sa Wireshark, ginagamit din ang mga utility tulad ng iperf, ntop, o NetFlow/sFlow flow analysis system, na tumutulong upang maunawaan kung sino ang kumukonsumo ng pinakamaraming bandwidth, kung aling mga application ang bumubuo ng pinakamaraming trapiko, at kung paano nag-iiba ang load sa paglipas ng panahon.
Mga hardware analyzer, karaniwan sa mga sistema ng kontrol sa industriyaKaraniwang kinabibilangan ang mga ito ng mga advanced na tampok tulad ng fuzzer para sa pagsubok ng mga implementasyon ng protocol, isang oscilloscope para sa pagsuri ng mga signal at frequency, at mga electrical panel analyzer. Ang mga produktong tulad ng Achilles, Netdecoder, o Line Eye device ay partikular na idinisenyo upang gumana sa Ethernet, serial (RS-232, RS-485), fiber, at iba pang media interface.
Mga pamamaraan para sa pagkuha at pagsusuri ng trapiko sa network
Para mapag-aralan ng isang software analyzer ang trapiko sa networkKinakailangan na ang mga frame of interest ay makarating sa kagamitan kung saan ito naka-install. Ito ay maaaring makamit sa ilang paraan: sa pamamagitan ng pagkonekta ng isang lumang hub kung saan ang lahat ng trapiko ay inuulit sa lahat ng port, sa pamamagitan ng pag-configure ng isang mirrored port (SPAN) sa isang switch, o sa pamamagitan ng paggamit ng mga partikular na hardware device tulad ng Network TAPs.
Ang paggamit ng mirrored port sa isang switch ang pinakakaraniwang opsyon sa mga modernong networkAng switch ay inaatasan na kopyahin ang lahat ng trapiko mula sa isa o higit pang mga port o VLAN patungo sa isang itinalagang port, kung saan nakakonekta ang analyzer. Nagbibigay-daan ito para sa tumpak na pagsubaybay sa kung ano ang dumadaan sa switch, bagama't mahalagang tandaan na ang labis na trapiko ay maaaring magpuno sa mirrored port at magdulot ng mga hindi nakuhang capture.
Ang mga Network TAP ay mga device na idinisenyo upang maglagay ng isang "transparent" na observation point. sa pagitan ng dalawang segment ng network. Kinokopya nila ang trapiko papunta sa analyzer nang hindi nakakasagabal sa komunikasyon, at karaniwang sumusuporta sa iba't ibang pisikal na media at bilis. Sa mga industriyal o kritikal na kapaligiran, kung saan ang mga configuration ng paglipat ay hindi kanais-nais, ang mga ito ay isang lubos na pinahahalagahang opsyon.
Ang malaking pagkakaiba sa pagitan ng mga software at hardware analyzer Ang una ay pangunahing nakatuon sa pagsubaybay at pagsusuri ng mga nakuha (kahit na pagkatapos ng pangyayari), habang ang huli ay nagdaragdag ng mga aktibong kakayahan sa pagsubok ng protocol, pagsukat ng pisikal na signal, at pagbuo ng sintetikong trapiko, na mahalaga para sa pagpapatunay ng mga kagamitang pang-industriya nang hindi umaasa sa dokumentasyon ng pampublikong tagagawa.
Sa anumang kaso, ang paggamit ng mga analyzer ay dapat na planuhin. Upang maiwasan ang epekto sa produksyon: ang mga pagsubok sa pagpapatupad ng protocol o mga kampanya ng fuzzing ay dapat patakbuhin sa mga kapaligirang laboratoryo o kapag hindi ginagamit ang pangunahing sistema, dahil bumubuo ang mga ito ng mga hindi wastong packet na maaaring mag-iwan sa network o mga controller sa mga hindi matatag na estado.
Mga protokol at pamamaraan para sa pagtuklas ng kagamitan at topolohiya
Ang isang mahalagang bahagi ng pagsusuri ng kagamitan sa network ay ang awtomatikong pagtuklas ng topolohiya at ang mga ugnayan sa pagitan ng mga device. Nakakamit ito sa pamamagitan ng pagsasama-sama ng iba't ibang protocol at pamamaraan, na nagbibigay-daan sa mga tool sa pamamahala na lumipat mula sa isang device patungo sa isa pa hanggang sa mabuo ang kumpletong mapa ng network.
Ang SNMP ang pinakakaraniwang protocol sa pamamahala ng networkAng mga katugmang device (router, switch, firewall, printer, atbp.) ay may kasamang SNMP agent na tumutugon sa mga query ng manager sa pamamagitan ng UDP, na iniiwasan ang overhead ng isang koneksyon sa TCP. Ang pinamamahalaang impormasyon ay nakaayos sa mga object identifier (OID) sa loob ng mga database ng MIB, na nag-iimbak ng mga counter, interface state, forwarding table, ink level, port statistics, at marami pang iba.
Ang protocol na LLDP (Link Layer Discovery Protocol) ay nagbibigay ng isa pang mahalagang impormasyonAng bawat device na sumusuporta dito ay pana-panahong nag-aanunsyo ng data tungkol sa sarili nito (uri ng device, identifier, port) sa mga direktang kapitbahay nito sa layer 2. Iniimbak ng mga kapitbahay na ito ang data na ito sa sarili nilang mga MIB, upang ang mga tool sa pamamahala ay makapagdugtong-dugtong ng mga kapitbahay upang muling buuin ang pisikal na topolohiya.
Kahit ang mga simpleng kagamitan tulad ng ping ay kapaki-pakinabang pa rin para sa pagtuklas.Sa pamamagitan ng pagpapadala ng mga kahilingan sa echo ng ICMP at pagsuri kung sino ang tumutugon, posibleng matukoy ang mga aktibong device sa isang subnet. Simple lang ang pamamaraang ito, ngunit kapag isinama sa SNMP, ARP, at iba pang mga pamamaraan, nakakatulong ito upang makumpleto ang imbentaryo.
Ang ARP protocol, na responsable sa pag-uugnay ng mga IP address sa mga MAC addressGinagamit din ito sa mga pag-audit. Sa pamamagitan ng pag-query sa ARP cache ng mga router at switch sa pamamagitan ng SNMP, maaaring bumuo ang management software ng sarili nitong database ng mga ruta, subnet, at mga kapitbahay na Layer 2 at Layer 3, na ipinagpapatuloy ang prosesong recursive na ito hanggang sa masakop ang lahat ng kilalang segment.
Pagsusuri ng trapiko sa network, NetFlow, at advanced na visibility
Bukod sa pagkuha ng mga indibidwal na packet, maraming organisasyon ang umaasa sa flow analysis. upang makakuha ng pinagsama-samang pananaw ng trapiko. Ang mga teknolohiyang tulad ng NetFlow (Cisco), sFlow, J-Flow o IPFIX ay nag-e-export ng mga buod ng mga pag-uusap sa network patungo sa isang sentral na kolektor, na nag-iimbak at grapikong kumakatawan sa mga ito.
Ang mga tool tulad ng NetFlow Analyzer ay responsable para sa pagkolekta ng data ng daloy na iyon.Pinag-uugnay nila ang datos na ito at bumubuo ng mga ulat na may impormasyon kung sino ang kumukonsumo ng bandwidth, kung aling mga application ang bumubuo ng pinakamaraming trapiko, kung aling mga port at protocol ang ginagamit, at kung paano umunlad ang paggamit ng network sa iba't ibang panahon. Pinapayagan ka nitong tingnan ang parehong real-time na datos (isang minutong granularity) at historical na datos sa loob ng mga oras, araw, buwan, o quarter.
Ang mga sistemang ito ng pagsusuri ng trapiko ay karaniwang nag-aalok ng mga komprehensibong dashboardkung saan matutukoy mo agad kung aling interface, application, user, host, o pag-uusap ang kumukunsumo ng mga resources. Karaniwang iniluluwas ang mga ulat sa CSV o PDF format, na lalong kapaki-pakinabang para sa paglalahad sa senior management at pagbibigay-katwiran sa mga pamumuhunan o pagbabago sa patakaran.
Ang isa pang kawili-wiling punto ay ang kakayahang matukoy ang mga hindi pangkaraniwang pag-uugali. sa pamamagitan ng mga daloy ng trapiko mismo: hindi pangkaraniwang pagtaas ng trapiko patungo sa mga partikular na port, mga pattern na nakapagpapaalaala sa mga pag-atake ng denial-of-service, mga daloy na may kakaibang mga halaga ng TOS, o mga maling nabuo na packet. Sa pamamagitan ng pag-uuri ng mga pangyayaring ito, matutukoy ang mga panloob o panlabas na banta, na nagbibigay-daan para sa mabilis na pagtugon.
Ang mga traffic analyzer ay nagiging pangunahing kagamitang pang-forensik din sakaling magkaroon ng posibleng panghihimasok. Sa pamamagitan ng pagpapanatili ng detalyadong impormasyon tungkol sa nangyari sa network, pinapayagan nilang muling buuin ang insidente: kung aling kagamitan ang kasangkot, gaano karaming data ang na-exfilt, at kung kailan naganap ang mga kahina-hinalang pag-access.
Paano buuin at isagawa ang isang network audit nang paunti-unti
Ang anumang matatag na pag-audit o pagtatasa ng seguridad ng network ay nakasalalay sa tatlong pangunahing yugtoPagpaplano, pagpapatupad, at pagkatapos ng pag-audit. Ang paglaktaw o pagbabawas sa yugto ng pagpaplano ay karaniwang nagtatapos sa pagkadismaya at pag-aaksaya ng oras, dahil ang mga pahintulot, datos, o mga kagamitan ay natuklasang nawawala sa kalagitnaan ng proyekto.
Sa yugto ng pagpaplano, ang saklaw ay tiyak na natutukoy.: kung anong mga device ang kasama (karaniwan ay mga router, switch, firewall at kagamitan sa seguridad, hindi kasama ang mga workstation at application server maliban kung iba ang nakasaad), kung anong mga layunin ang hinahabol (imbentaryo, pagsunod, pag-troubleshoot, pagpapabuti ng performance), kung anong mga regulasyon ang nalalapat at kung anong mga work window ang gagamitin.
Tinitiyak din ang pangako ng mga stakeholder.Kung walang suporta mula sa pamamahala at teknikal na pangkat, halos imposibleng magsagawa ng kumpletong pag-audit ng network, dahil nangangailangan ito ng mga kredensyal sa pag-access (SNMP, Telnet, SSH), mga pansamantalang pagbabago sa configuration (tulad ng pagpapagana ng SNMP o SPAN), at maging ng mga computer o laptop na may sapat na kapasidad upang patakbuhin ang mga kinakailangang tool.
Ang pagpili ng kagamitan ay isa pang mahalagang punto sa yugtong itoPara sa maliliit na network, maaaring pumili ng mas manu-manong pamamaraan, na nagkokonekta ng device sa bawat device, ngunit sa mga katamtaman at malalaking kapaligiran, kadalasang mahalagang gumamit ng mga awtomatikong solusyon sa pagtuklas, pagsusuri ng configuration, mga vulnerability scanner, at mga traffic analyzer.
Kapag naihanda na ang plano, magsisimula na ang pagsasagawa ng audit.Kapag naihanda na ang mga kredensyal at na-configure na ang tool (mga string ng komunidad ng SNMP, mga username at password ng Telnet/SSH, mga saklaw ng IP, o mga seed device), magsisimula na ang proseso ng pagtuklas. Depende sa laki ng network, ang yugtong ito ay maaaring tumagal mula ilang oras hanggang ilang araw.
Kapag nakumpleto na ang pangongolekta ng datos, magsisimula na ang yugto pagkatapos ng pag-audit.kung saan ang lahat ng resulta ay sinusuri nang malaliman: binubuo ang mga ulat, natutukoy ang mga panganib, inuuna ang mga kahinaan ayon sa epekto, pinaghihiwalay ang mga maling positibo, at binubuo ang mga malinaw na rekomendasyon. Ang bahagi ng ulat ay tututok sa lengguwahe ng negosyo (mga gastos sa isang pagkawala ng kuryente, mga legal na panganib, epekto sa produktibidad) at ang isa pang bahagi ay purong teknikal.
Mga detalyadong yugto sa mga pagtatasa ng seguridad ng network
Sa mas masusing mga pag-audit sa seguridad Karaniwang hinahati ng mga espesyalista ang trabaho sa ilang teknikal na yugto na mahusay na pinag-iba upang matiyak na walang anggulo ang hindi nasusuri.
Ang unang yugto ay ang pagsusuri ng bakas ng paa at pangangalap ng impormasyonDito, nalilikha ang isang pisikal at virtual na imbentaryo ng network: hardware, software, lisensya, mga pangalan ng domain, mga saklaw ng IP, mga nailathalang serbisyo, mga ruta, mga patakaran sa seguridad, mga proseso ng pagsubaybay na gumagana na, atbp. Ang layunin ay magkaroon ng pinakakumpletong modelo ng network at profile ng seguridad na posible.
Ang ikalawang yugto ay nakatuon sa pagsusuri at pagsusuri ng mga kahinaan mula sa panlabas na pananawGamit ang impormasyong nakalap, ang layunin ay makapasok sa network sa pamamagitan ng pagsasamantala sa mga kahinaang mababa ang antas na, sama-sama, ay maaaring magbigay ng access sa sensitibong impormasyon o mga kritikal na sistema.
Inuulit ng ikatlong yugto ang parehong estratehiya, ngunit mula sa loob ng organisasyon.Ipinapalagay ng senaryo na ang isang umaatake ay nakakapasok na (halimbawa, sa pamamagitan ng isang phishing email o isang nahawaang USB drive) at tinatangkang dagdagan ang mga pribilehiyo at gumalaw nang pahilis. Sinusubukan nito ang lakas ng mga panloob na depensa at segmentasyon ng sistema.
Sa ikaapat na yugto, manu-manong beripikahin ang bawat sinasamantalang kahinaan.Kabilang dito ang pagsusuri sa mga configuration, bersyon, patch, at mga potensyal na alternatibong vector ng pag-atake. Pinipigilan ng beripikasyong ito ang mga mapagkukunan na mamuhunan sa paglutas ng mga problemang hindi tunay na magagamit o may kaunting epekto sa partikular na konteksto ng organisasyon.
Panghuli, isinasagawa ang isang komprehensibong pagsusuri ng kahinaan. upang matukoy ang mga padron at mga ugat na sanhi: mga pagkakamali sa disenyo, kakulangan ng mga patakaran, kakulangan ng pagsasanay, mga kagamitang walang suporta, kawalan ng regular na pagsusuri, atbp. Mula roon, tinutukoy ang mga priyoridad na plano ng aksyon, na dapat ipatupad ng departamento ng IT sa pakikipagtulungan sa pamamahala.
Mahalaga ang parehong network audit at IT infrastructure audit upang matiyak na ang mga sistema ng kompyuter ng kumpanya ay matatag, magagamit nang may kumpiyansa, at nag-aalok ng pinakamataas na posibleng antas ng privacy at proteksyon laban sa lalong nagiging sopistikadong mga banta sa cyber.
Isang masusing pagsusuri ng mga kagamitan sa network, kasama ang patuloy na pagsubaybay, mahuhusay na kagamitan, at regular na mga pagsusuri Ito ang nagbibigay ng pagkakaiba sa pagitan ng isang organisasyon na tumutugon sa mga problema kapag huli na ang lahat at isa na nakakatuklas ng mga pagkabigo, pag-atake, at mga bottleneck sa oras, na iniiwasan ang mga pagkaantala sa negosyo, pagkawala ng data, at mga parusa para sa hindi pagsunod sa mga regulasyon.
