اقرأ في هذا المقال
- ما هو نظام تحليل حركة مرور الشبكة NTA
- ما هي أدوات تحليل حركة مرور الشبكة للأمان
- الفوائد الرئيسية لتحليل حركة مرور الشبكة
- أهمية تحليل حركة مرور الشبكة
تحليل حركة مرور الشبكة (NTA) هو عملية اعتراض وتسجيل وتحليل أنماط اتصالات، مع العلم أنّ حركة مرور الشبكة تستخدم من أجل اكتشاف التهديدات الأمنية والاستجابة لها، وأنّ تحليل حركة مرور الشبكة “NTA” هي فئة منتجات وتكنولوجيا ناشئة تم الاعتراف بها لأول مرة من قبل شركة “Gartner”، حيث نشرت “Gartner” أول دليل سوق لتحليل حركة مرور الشبكة بعد البدء في تتبع “NTA” كفئة في أواخر عام “2018”.
ما هو نظام تحليل حركة مرور الشبكة NTA
تحليل حركة مرور الشبكة (NTA) هو فئة من فئات الأمن السيبراني التي تتضمن مراقبة اتصالات حركة مرور الشبكة واستخدام التحليلات لاكتشاف الأنماط ورصد التهديدات المحتملة، حيث يمكن أن تكون حلول تحليل حركة مرور الشبكة “NTA” أدوات قوية لأي مؤسسة حيث تنبه فرق الأمن إلى الإصابة مبكراً بما يكفي، وذلك لتجنب الأضرار المكلفة، مع العلم أنّ تحليل حركة مرور الشبكة (NTA) هو طريقة لمراقبة توافر الشبكة ونشاطها لتحديد الحالات الشاذة، بما في ذلك مشكلات الأمان والتشغيل، حيث تشمل حالات الاستخدام الشائعة لـ NTA ما يلي:
- جمع سجل في الوقت الفعلي وتاريخي لما يحدث على شبكتك.
- الكشف عن البرامج الضارة مثل نشاط برامج الفدية.
- الكشف عن استخدام البروتوكولات والأصفار المعرضة للخطر.
- استكشاف أخطاء الشبكة البطيئة وإصلاحها.
- تحسين الرؤية الداخلية والقضاء على النقاط العمياء
- “NAT” هي اختصار ل كلمة “ Network Traffic Analysis”.
ما هي أدوات تحليل حركة مرور الشبكة للأمان
باعتبار تحليل حركة مرور الشبكة فئة ناشئة وسريعة التطور وتعتبر من أدوات الأمان، فإن حلول تحليل حركة مرور الشبكة “NTA” لها العديد من الميزات والأصول المختلفة، فعلى سبيل المثال تم تطوير بعض الحلول كأدوات لمراقبة أداء الشبكة بينما تم تصميم حلول أخرى لغرض الأمان، وربما يكون من المدهش أن يكون هذا التمييز مهماً ويؤثر على فائدة الحل لفريق الأمن ولكن فيما يلي بعض السمات التي نعتقد أنها مكونات مهمة لأدوات تحليل حركة مرور الشبكة”NTA”.
1. ظهور الشبكة الجديدة:
لكي يكون تحليل حركة مرور الشبكة فعالاً، يجب أن تتمتع الحلول بفهم عميق لجميع كيانات الأعمال في المؤسسة، وذلك من خلال محيط الشبكة الذي لم يعد من السهل تحديده فإن الرؤية في الشبكة الجديدة بما في ذلك مركز البيانات والمحيط والجوهر وإنترنت الأشياء وشبكات التكنولوجيا التشغيلية وتلك التي تربط موارد السحابة وموارد “SaaS” أمر ضروري، وعندها فقط سيكون الحل قادراً على تحليل كل اتصال بين كل كيان لتوفير رؤية شاملة بدون نقاط عمياء.
2. الوعي بالخصوصية:
نظراً لأن الخصوصية أصبحت جزءاً أساسياً من سياسة تكنولوجيا المعلومات لأي مؤسسة، سوف يتم تشريع قواعد الخصوصية الأكثر صرامة في جميع أنحاء العالم، كما يجب أن تأخذ الحلول الأمنية هذا التحول في الاعتبار وإحدى الطرق المهمة للقيام بذلك هي من خلال تحليل حركة المرور المشفرة مع مخاوف الخصوصية الجديدة لن تتمكن المؤسسات دائماً من فك تشفير حركة المرور للنظر في الحمولات.
كما يمكن أن تنظر الأساليب الجديدة لتحليل حركة المرور في السمات التي تتراوح من التطبيقات المتصلة إلى طبيعة الاتصال في نقل الملفات مقابل الصدفة التفاعلية مثل “SSH” و “مقابل جلسة تصفح الويب” و “مقابل مشاركة الفيديو”، وذلك لتحديد النشاط الضار وبالإضافة إلى ذلك من المهم ألا يتم نقل البيانات أبداً خارج البنية التحتية للعميل لتحليلها و استخدامها في خوارزميات التدريب، وقد يؤدي نقل المعلومات الحساسة التي يمكن من خلالها التعرف على العملاء خارج البنية التحتية للمؤسسة إلى تعريض تلك المؤسسة لقضايا الخصوصية والامتثال.
3. تحديد الأساس الزمني:
كان تحديد الأساس الزمني واكتشاف الشذوذ فعالاً في الأجيال الأولى من أدوات تحليل الشبكة، ولكن الإفراط في التعميم للكيانات والسلوكيات التي تتغير باستمرار عبر المؤسسة يمكن أن يؤدي إلى العديد من الإيجابيات الخاطئة والسلبيات الكاذبة، حيث يجب أن تقوم الأدوات الحديثة بتحليلات سلوكية مع سياق أعمق، حيث يعتمد على فهم الكيانات المعنية وسلوكيات الكيانات المماثلة والسلوكيات السائدة في جميع أنحاء المؤسسة، مع العلم سوف يوفر هذا النهج نتائج أكثر دقة ويتجنب أيضاً الحاجة إلى إعادة تدريب النظام عندما تتغير السلوكيات المشروعة، فعلى سبيل المثال عند نشر برنامج جديد أو حدوث تغييرات تنظيمية أخرى.
4. التكاملات قوية في تحليل حركة مرور الشبكة:
يعد تحليل حركة مرور الشبكة طريقة فعالة للغاية لفرق عمليات الأمان، وذلك لاكتساب نظرة ثاقبة على الأجهزة والأشخاص والكيانات المُدارة وغير المُدارة، حيث إنه يمنح فرق “SOC” القدرة على تحديد التهديدات الحديثة التي تمتزج مع النشاط المبرر للأعمال والتي تزداد صعوبة اكتشافها.
ولزيادة هذه الكفاءة الأساسية من المهم لأدوات تحليل حركة مرور الشبكة الحفاظ على تحالفات قوية مع الشركات عبر صناعة الأمن السيبراني والتكنولوجيا، بما في ذلك تلك التي تقدم أنظمة “SIEM”، حيث يتم اكتشاف نقطة النهاية وأتمتة الاستجابة للحوادث وتنسيقها والأنظمة الأساسية السحابية، حيث سيسمح ذلك لفرق “SOC” باستخدام الأدوات الأكثر تقدماً بسرعة للعمل بناءً على المعلومات الهامة أو السماح لهذه الإجراءات بالحدوث تلقائياً.
الفوائد الرئيسية لتحليل حركة مرور الشبكة
- رؤية محسنة للأجهزة المتصلة بشبكتك.
- تلبية متطلبات الامتثال.
- استكشاف مشكلات التشغيل والأمان وإصلاحها.
- استجب للتحقيقات بشكل أسرع بتفاصيل غنية وسياق شبكة إضافي.
أهمية تحليل حركة مرور الشبكة
من الممارسات الجيدة دائماً مراقبة محيط الشبكة عن كثب، حتى مع وجود جدران حماية قوية يمكن أن تحدث أخطاء ويمكن أن تمر حركة المرور المارقة، كما يمكن للمستخدمين أيضاً الاستفادة من أساليب مثل الأنفاق ومجهولي الهوية الخارجية وشبكات “VPN”، وذلك للالتفاف على قواعد جدار الحماية، وبالإضافة إلى ذلك فإن ظهور فيروسات الفدية كنوع شائع للهجوم في السنوات الأخيرة يجعل مراقبة حركة مرور الشبكة أكثر أهمية.
كما يجب أن يكون حل مراقبة الشبكة قادراً على اكتشاف النشاط الذي يشير إلى هجمات برامج الفدية عبر بروتوكولات غير آمنة، خذ “WannaCry” على سبيل المثال حيث قام المهاجمون بفحص الشبكات بفاعلية مع فتح منفذ “TCP 445″، ثم استخدموا ثغرة أمنية في “SMBv1″، وذلك للوصول إلى مشاركات ملفات الشبكة، حيث تعمل حلول تحليل حركة مرور الشبكة “NTA” بشكل مستمر على تحليل بيانات الشبكة أو سجلات التدفق مثل (NetFlow).
حيث يستخدمون مزيجاً من التعلم الآلي والتحليلات السلوكية، وذلك لإنشاء خط أساس يعكس شكل سلوك الشبكة العادي للمؤسسة، وعند اكتشاف أنماط حركة مرور غير طبيعية أو أنشطة شبكة غير منتظمة، حيث تنبه هذه الأدوات فريق الأمان لديك إلى التهديد المحتمل، وبالإضافة إلى مراقبة حركة المرور بين الشمال والجنوب التي تعبر محيط المؤسسة، سوف تراقب حلول تحليل حركة مرور الشبكة “NTA” الاتصالات بين الشرق والغرب، وذلك من خلال تحليل حركة مرور الشبكة أو سجلات التدفق.