iT邦幫忙

第 11 屆 iThome 鐵人賽

0
Security

Progress | Ipswitch 高安全網路環境與資料分享空間 面面觀系列 第 29

活用網路監控工具 及早掌握系統安全

  • 分享至 

  • xImage
  •  

大多數 IT 組織而言,網路監控是不可或缺的工具,甚至可以說是 IT 工具的核心。因為這項工具能讓 IT 專業人員在接獲報修申請之前,及早發現問題,也能讓 IT 團隊掌握服務、網路、應用程式效能,以及其他諸多方面的錯誤。
雖然網路監控是 IT 人員必備的瑞士萬用刀,仍有一個領域還未能將這項工具利用得淋漓盡致,那就是安全防護。這點非常可惜,因為只要稍加靈活運用,就能充分結合網路監控工具能在資訊、警示以及報告等各方面發揮的優勢,將安全防護措施做得更臻完善。
試想一下,既然網路監控工具能夠監控網路健康狀態,也能監控攻擊或破壞網路健全狀態的惡意軟體,那麼自然也能監控資安事件。再者,由於這些都是既有工具,只要花相對低的成本,就能讓這些工具在安全防護方面發揮價值。
雖然設計網路監控軟體的初衷,並非助企業解決在安全防護方面的所有需求、慾望及問題,也非這類軟體原本的用途。然而只要設定得當,優秀網路監控解決方案也能成為輔助進行安全防護定期控管機制的利器。
此外,若組織缺乏發展成熟的 SIEM 和 SOC 資源,不妨當作良好的臨時因應解決方案,能夠幫助資安人員警覺某些重大問題。

網路探索與網路目錄
網路探索是設定網路監控系統的第一步,也是運用既有設定發揮安全防護價值的重要工具。原因在於,安全防護計劃絕對少不了網路裝置目錄,及這些目錄的一般設定檔。網路探索和目錄,可讓企業在發生災難之後進行復原,也能協助瞭解資料發生問題之處,乃至於進一步瞭解性質較為敏感的區域,例如用於存放或傳輸受監管資訊的伺服器。
一套功能完善的網路監控工具,能設定以 SNMP 為準或以特定系統為目標的定期探索排程,以便隨時掌握環境中的各項變化,也能找到網路中的新裝置。如果發現狀況有異,也可以執行即時探索。若使用 WhatsUp Gold,您甚至可以設定通知和警示,一旦探索功能找到非預期的裝置,就會透過電子郵件或 Slack 提醒您。

設定安全防護基準
由於資訊人員必須先知道網路出錯時可能會發生的狀況,才能判斷網路究竟有沒有發生問題。因此,最好做法是建立基準,而且指標越多越好。以監控效能而言,便可追蹤 CPU、記憶體、磁碟或介面使用情形,除可建立基準,也能設定超出這些基準閾值時所發出的警示。
例如,加密貨幣挖礦相當佔用資源,因此挖礦專用電腦的指標會特別引人注目,尤其在晚上或週末等非上班時段更為明顯。因為,此時大多數裝置的使用率較低,但安裝加密貨幣挖礦軟體的電腦,仍會繼續大量利用資源。假設行銷部門的電腦通常使用 30% 的 CPU,某天,這台電腦一整天的使用率卻高達 100%,資訊人員就該知道出了問題。
使用現代化的網路監控工具能夠監控 CPU 使用率驟增現象,也能設定在 CPU 使用率超出 90% ,或您想要設定的任何其他閾值時發出警示,讓資訊人員能輕鬆追蹤電腦,充分瞭解是否發生任何異常情形。

善用網路流量分析功能 發現潛在威脅
網路監控工具可應用的安全防護功能,即是網路流量分析,這項功能會分析 NetFlow、NSEL、sFlow、J-Flow 和 IPFIX 記錄,提供鉅細靡遺的分析資料,以便可清楚什麼軟體在消耗頻寬。這項功能可以提醒您注意許多異常行為,不論是 24 小時狂播 Netflix 節目的荒誕行徑,或是殭屍網路入侵電腦,又或是駭客盜用資料,全都在您的掌握之中。
網路流量分析能夠對照即時頻寬使用率,與歷來頻寬趨勢記錄並進行監控,因此甚至可識別諸如 DDoS 攻擊之類的安全防護問題。至於安全防護鑑識方面,NTA 能自動識別傳入非監控連接埠的較高流量,找出未經授權的應用程式,也能監控來源和目的地之間的流量。
不光如此,WhatsUp Gold 2019甚至可提醒管理員有使用者在存取暗網 (Tor),這項功能會監控所有網路流量分析程式來源,一旦有任何主機在既定期間內,連至已知 Tor 連接埠的連線數超出既定數量 (這個數量是可以設定的),就會通知管理員。

探索設定變更情形
在竊取網路存取權限的過程中,攻擊者往往會運用能夠重新設定服務或主機的技術,這類技術甚至可以暫時使服務或主機癱瘓。幸好,網路監控正是用來追查並針對這類情況發出警示的工具。
現代化的網路監控工具可以讓您設定電子郵件通知及警示,隨時掌握網路裝置設定變更情形,也能根據既定原則稽查設定。WhatsUp Gold 也能讓使用者查看及比較裝置內容頁中的裝置設定,倘若遺失設定,只要裝置支援 Telnet 或 SSH,您就能自動備份網路裝置設定。

警示功能:關鍵的最後一步
當然,若警示系統不夠穩定,無法讓您和您的同事及早發現狀況有異,一切都是枉然。如上所述,大多數的網路監控工具都能針對異常行為、資源使用情形或頻寬使用情形設定閾值警示,不過,倘若無法將警示發送給正確的對象,再好的功能也無用武之地。
要是需要收到警示的人不在辦公桌前,應用程式就算發出一千則警示也徒勞無功。因此,警示功能一定要提供多種選項,例如電子郵件或 Slack 訊息,如此一來,無論您的團隊身在何處,警示都能發揮正常功能。

https://ithelp.ithome.com.tw/upload/images/20191004/201197498u8FR5Y4UG.png

若資訊人員能善用 WhatsUp Gold 2019 的強大的主動、被動、效能監控工具和警報功能,即可預先掌握網路效能和妥善率問題,降低資安威脅事件帶來的風險。

https://ithelp.ithome.com.tw/upload/images/20191004/20119749rSBvKzf43R.png

WhatsUp Gold 2019 提供定義自動化動作政策的功能,包括電子郵件警報、簡訊警報、Slack 警報、發佈到 IFTTT、服務重新啟動和網路警報,助資安人員掌控所有動態。


上一篇
企業應該使用自動處理檔案傳輸的八個理由
下一篇
5G 時代來臨 企業應儘早規劃
系列文
Progress | Ipswitch 高安全網路環境與資料分享空間 面面觀30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言